4月15日，MITRE向CVE委员会发送了一封邮件，告知美国政府对CVE/CWE项目的资助合同将于4月16日到期。

受此影响，CVE漏洞可能更新受到影响，并影响NVD等下游的漏洞库。

但是根据我们的分析和判断：从目前来看，CVE的更新预计不会受到实质性的影响。

CVE项目始于1999年，由美国国土安全部（DHS）和网络基础设施安全局（CISA）的赞助，MITRE负责运营，NVD（美国国家漏洞库）等下游漏洞库基于CVE的数据进一步加工分析。

在过去的二十多年里，CVE是对通用漏洞标识的标准，是漏洞情报共享、漏洞库、各类安全工具的重要基础数据，这是一项非常有意义的伟大工作。

从目前来看，CVE的更新应该不会受到实质性的影响。

CVE受益者众多，各方都会想办法延续这一重要的基础设施，并且已经有了一些实际的动作。

根据Cynthia Brumfield在bsky平台上的发言(https://bsky.app/profile/metacurity.com/post/3lmwjbndmd22s)来看，CISA已经延长了对MITRE的项目合同，CVE项目并不会在4月16日就终止。

在16日，由Kent Landfield等CVE委员会成员宣布为应对政府对该项目的资金，成立CVE基金会，助力CVE项目持久、独立发展，并将在接下来几天公布后续的基金会发展计划。

在公告中提到「作为回应，一群长期活跃的 CVE 委员会成员已经花费过去一年时间制定策略，将 CVE 过渡到一个专门的、非盈利的基金会。新的 CVE 基金会将专注于继续执行提供高质量漏洞识别和维护 CVE 数据完整性和可用性以供全球防御者使用的使命」，可见该风险在CVE委员会内部已经早有准备。

相比于CVE，NVD（美国国家漏洞库）在其基础上增加了CVSS评分、提供基于CPE的相对标准的影响范围等更丰富的信息，因此使用更为广泛。

在2024年，NVD也曾发布公告称由于预算削减，大量的漏洞分析积压，导致数以万计的漏洞没有及时分析，缺少CVSS评分、影响范围等评估信息。

对于作为下游消费者的第三方漏洞库、安全产品/工具来说，短期有可能由于CVE的不稳定带来工作量的增加，同时也使得下游消费者更关注基础数据的质量。

从CNVD、CNNVD等国家级漏洞库来看，各国管理机构可能会因此更重视对自身漏洞库的建设，保障在CVE等外部数据波动情况下能够稳定连续运行。

CVE提供了基础漏洞情报共享的一个平台，这是一个伟大的工作。

但是这些漏洞在企业安全治理过程中，并不能够很好的满足企业高效的治理需求，比如准确的影响范围信息、可操作的漏洞修复方案、企业实际业务场景下的漏洞优先级问题等等。

那么墨菲安全一直致力于打通企业安全治理的最后一公里，为企业提供：

客观的漏洞影响优先级分析

清晰准确的漏洞影响范围

可操作的漏洞修复方案

适配于各种安全防护/检测能力的漏洞情报知识数据

等等，我们希望通过我们认真的工作，真正高效的帮助企业快速解决安全漏洞，保护广大用户的数据安全，同时保障企业的业务稳定运行。

也跟大家汇报一下我们目前取得的一些进展，目前经过墨菲安全专业校准和增强分析过的高质量漏洞超过40万，目前我们的漏洞知识库、漏洞情报、软件供应链安全相关产品能力也已经服务了蚂蚁、阿里、百度、腾讯、字节、中国银行、中国电信、国家电网、理想汽车等等数百家来自互联网、金融、运营商、能源、制造行业的企业。

我们也欢迎所有在漏洞治理上有需求的企业与我们进行交流和探讨，我们非常愿意分享我们在漏洞研究和企业安全漏洞治理上的一些实践经验。

墨菲安全开源和共享的漏洞知识库信息：https://www.oscs1024.com/

墨菲安全漏洞治理相关产品和服务官网：https://www.murphysec.com/