MITRE公司警告称，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和恶化。由于与美国政府的合同即将到期，后续资金尚未确定，CVE计划可能面临国家漏洞数据库和公告恶化、供应商响应速度减慢等问题。CVE计划是网络安全漏洞披露和记录的重要组成部分，由MITRE公司维护，资金来源多样。此前，MITRE公司已因政府资金削减裁员。此外，美国国家标准与技术研究院（NIST）正努力清理国家漏洞数据库（NVD）中不断增加的CVE积压，这给漏洞管理带来了挑战。

⚠️ CVE计划面临资金挑战：MITRE公司运营的CVE计划，其与美国政府的管理合同将于2025年4月16日到期，后续资金尚未确定。这引发了对该计划未来稳定性的担忧。

🚨 服务中断可能导致多重负面影响：如果CVE计划的服务中断，预计将导致国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，并波及各类关键基础设施。

🔍 NVD积压问题日益严重：美国国家标准与技术研究院（NIST）正努力清理国家漏洞数据库（NVD）中不断增加的CVE积压。尽管处理速度未变，但去年提交量增加了32%，导致积压问题加剧。

💡 技术探索与挑战并存：NIST正在探索使用人工智能和机器学习技术来自动化某些处理任务以应对积压问题。然而，现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。

HackerNews 编译，转载请注明出处：

非营利组织MITRE公司表示，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和“恶化”。

在写给CVE董事会的一封信中，MITRE公司国土安全部中心的副总裁兼主任Yosry Barsoum表示，与美国政府管理该计划的合同将于4月16日到期，而后续资金尚未确定。

“2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他相关计划（如CWE）的现有合同途径将到期。政府仍在努力延续MITRE在支持该计划中的角色，”Barsoum解释说。

他警告说：“如果出现服务中断，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，以及对各类关键基础设施的影响。”

CVE计划旨在编目公开披露的网络安全漏洞，是漏洞披露和记录流程中的重要组成部分，被黑客、供应商和组织广泛用于分享关于网络安全风险的准确和一致信息。

该计划由非营利组织MITRE公司维护，该公司运营联邦研发中心，资金来源多样，包括美国政府、行业合作以及国际组织的支持。

本月早些时候，鉴于美国政府资金削减的预期，MITRE在其弗吉尼亚州办公室裁员超过400人。此前，特朗普政府宣布取消该公司价值超过2800万美元的合同。

关于CVE计划资金的担忧，正值美国国家标准与技术研究院（NIST）仍在努力清理国家漏洞数据库（NVD）中不断增加的CVE积压之际。

据NIST称，尽管国家漏洞数据库（NVD）处理新CVE的速度与2024年春季和初夏放缓之前相同，但去年提交量增加了32%，导致积压问题仍在加剧。

“我们预计2025年的提交量将继续增加，”该机构表示，并指出正在探索使用人工智能和机器学习技术来自动化某些处理任务。

积压问题已经在漏洞管理领域显现，NVD数据被视为事实来源，需要持续对数据进行分类和丰富。

如果没有更快地处理漏洞数据，报告问题与可操作情报之间的差距将扩大，这将给依赖及时信息来保护系统的组织带来严重问题。

NIST解释说，NVD现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。