CISA 表示,美国政府已扩大资金投入,以确保关键的通用漏洞和暴露 (CVE) 计划不会出现连续性问题。这家美国网络安全机构表示:“CVE 项目对网络社区至关重要,也是 CISA 的首要任务。昨晚,CISA 执行了合同中的选择期,以确保关键的 CVE 服务不会出现中断。我们感谢合作伙伴和利益相关者的耐心。”
此前,MITRE 副总裁 Yosry Barsoum 曾警告称,政府对 CVE 和 CWE 项目的资助将于今天(4 月 16 日)到期,这可能会导致整个网络安全行业出现大范围混乱。
Barsoum 表示:“如果服务中断,我们预计 CVE 将受到多重影响,包括国家漏洞数据库和公告、工具供应商、事件响应操作以及各种关键基础设施的恶化。”
MITRE 维护着CVE,这是一个被广泛采用的计划,它在讨论安全漏洞时提供准确性、清晰度和共享标准,资金来自美国国土安全部 (DHS) 的国家网络安全部门。
新成立的 CVE 基金会
在 CISA 宣布这一消息之前,一组 CVE 董事会成员宣布成立 CVE 基金会,这是一个非营利组织,旨在确保 CVE 计划的独立性,因为 MITRE 警告称美国政府可能不会续签管理该计划的合同。
他们在周三的新闻稿中表示: “自成立以来,CVE项目一直由美国政府资助,并通过合同进行监督和管理。虽然这种结构支持了项目的发展,但也引发了CVE董事会成员长期以来的担忧,他们担心一个全球依赖的资源与单一政府资助机构捆绑在一起,其可持续性和中立性会受到影响。”
在过去的一年里,参与启动的人员一直在制定一项战略,将该计划过渡到这个专门的基金会,消除“漏洞管理生态系统中的单点故障”,并确保“CVE 计划仍然是一个全球信赖的、社区驱动的计划”。
虽然 CVE 基金会计划在未来几天发布有关其过渡计划的更多信息,但下一步行动仍不明确,特别是考虑到 CISA 已确认 MITRE 合同的资金已延长。
欧盟网络安全局 (ENISA) 还推出了欧洲漏洞数据库 ( EUVD ),该数据库“通过从多个来源收集公开的漏洞信息,采取多利益相关方方式”。
