网络安全与基础设施安全局(CISA)宣布,在联邦政府最初削减资金后,将继续维持CVE漏洞数据库至少11个月的运营。作为记录操作系统与软件安全漏洞的核心数据库,CVE已成为现代网络安全体系的重要支柱。
-xl-xl.jpeg)
周三凌晨曾有报道指出,通用漏洞披露(CVE)数据库面临资金断供危机。但数小时后局势逆转,该数据库获得近一年的延期资助。作为全球黑客与恶意软件攻击的主要情报源,CVE承载着记录操作系统与应用程序漏洞的关键使命。
周二,非营利防务机构MITRE公司证实其维护CVE数据库的合约将于次日到期,同步终止资助的还有通用缺陷枚举(CWE)项目。CISA向路透社确认了合约终止的消息,该机构隶属于美国国土安全部。
虽然最初未承诺接管数据库,但CISA表示正采取措施维持CVE服务运行。该机构向媒体透露,已于周二晚间启动合约延期条款,确保数据库服务不间断。此次延期将持续11个月,但未来是否继续延长尚未明确。业内人士推测,CISA可能利用缓冲期制定后续方案,包括数据库关停或整体迁移计划。
作为安全生态系统的核心组件,CVE数据库被苹果等科技巨头广泛应用于漏洞排查。iOS与macOS的安全更新常引用CVE条目,帮助研究人员跟踪修复进度。这个开发者与安全专家共享的中央数据库,极大提升了漏洞管理效率,成为行业标准索引体系。
资金危机消息引发安全学界强烈震动。前CISA局长珍·伊斯特利在社交媒体发文警告,CVE关停将严重削弱企业风险管控能力,威胁国家安全。她将CVE比作网络安全的“杜威十进制分类法”,其缺失将导致研究效率断崖式下跌。
“如同图书管理员在无序的图书馆寻书,安全专家将在未知威胁细节的情况下被动防御。”伊斯特利强调,CVE消失将加剧数据泄露与勒索软件攻击风险,推高安全防护成本,并动摇消费者与监管机构信心。
计算机漏洞研究专家布莱恩·马丁预测,此事将引发“全球漏洞管理体系的连锁反应”。各国计算机应急响应小组(CERTs)将失去核心情报来源,企业安全系统将经历“剧烈调整期”。(2025年4月16日美国东部时间下午2:34更新资金延期公告)
