美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;|有部分群众反映收到了领取“五险一金补贴”的通知;
美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;|有部分群众反映收到了领取“五险一金补贴”的通知;
黑白之道 2025-04-17 02:11
美国国土安全部终止资助,CVE漏洞数据库面临停摆危机;
美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的”通用漏洞披露(CVE)”数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因
DHS
未说明具体原因拒绝续约而面临终止。
MITRE国土安全中心主任Yosry Barsoum在致CVE委员会的信函中证实:”2025年4月16日(周三),MITRE用于开发、运营和现代化CVE®项目及相关计划(如通用缺陷枚举CWE™项目)的资金将终止。政府仍在大力支持MITRE在项目中的角色,MITRE也始终将CVE视为全球公共资源。”
01
业界痛斥”悲剧性决定”
兰德公司高级政策研究员Sasha Romanosky将
CVE
项目的终结称为”悲剧”,这一观点得到众多网络安全专家的认同。他表示:”CVE编号及软件版本漏洞分配是整个漏洞生态系统的基石。失去它,我们将无法追踪新发现漏洞、评估严重性、预测利用风险,更无法做出最佳修复决策。”
Bitsight首席科学家Ben Edwards表示:”这令人深感遗憾。CVE是绝对值得持续资助的宝贵资源,不续约是个错误决策。希望中断只是暂时的。若合同最终未能续签,生态系统中其他利益相关方或许能接手MITRE的工作。得益于该系统的联邦架构和开放性,这种过渡存在可能,但转移运营主体必将充满挑战。”
02
全球网络安全基石崩塌
MITRE的CVE项目是全球网络安全生态的基础支柱,已成为识别漏洞和指导防御者实施漏洞管理的事实标准。它为供应商产品提供核心数据支撑,涉及漏洞管理、网络威胁情报、安全信息与事件管理(SIEM)、终端检测与响应(EDR)等多个领域。
尽管美国国家标准与技术研究院(NIST)通过国家漏洞数据库(NVD)对CVE记录进行补充,网络安全与基础设施安全局(CISA)也因NVD资金短缺启动”漏洞增强”计划协助完善记录,但MITRE始终是CVE记录的原始发布者和安全缺陷识别的主要来源。
安全项目Security Errata首席安全官、前CVE委员会成员Brian Martin在LinkedIn警告:”若MITRE资金链断裂,将立即引发全球范围的连锁反应——首先,联邦模型和CVE编号机构(CNA)无法再分配ID并提交MITRE快速发布;其次,这直接动摇本已举步维艰的NVD数据库根基(当前积压超3万个未处理漏洞,另有8万个被’暂缓’分析);再者,所有依赖CVE的厂商需另寻情报源;最后,各国CERT机构将失去免费漏洞情报渠道。”
03
预算削减背后的政治因素
在持续资助这个备受推崇的项目25年后,DHS突然终止合同的原因尚不明确。有分析指出,特朗普政府通过埃隆·马斯克主导的”政府效能改革”计划大幅削减财政支出,网络安全与基础设施安全局(CISA)成为重灾区——尽管该局已经历两轮裁员,近40%(约1300名)员工仍面临解雇。但知情人士透露,相比联邦政府其他部门的预算削减,维持CVE项目的开支微不足道,”根本不会造成财政压力”。
04
后续影响与行业应对
接近CVE项目的消息人士称,自4月15日午夜起,MITRE将停止更新漏洞数据库(历史记录仍存于GitHub)。真正的悬念在于私营领域能否出现替代方案。
威胁情报公司
VulnCheck
研究员Patrick Garrity表示:”在NVD数据库去年崩溃后,当前漏洞生态系统本就脆弱。CVE项目若受影响,将对防御者和安全社区造成严重伤害。”该公司已提前预留1000个2025年CVE编号,承诺继续为社区提供服务。
CISA发言人表示:”作为CVE项目主要资助方,我们正紧急采取措施减轻影响,维护全球依赖的CVE服务。”该程序被政府和产业界共同用于披露、分类和共享可能危及国家关键基础设施的技术漏洞信息。
有部分群众反映收到了领取“五险一金补贴”的通知;
近日
有部分群众反映收到了
领取“五险一金补贴”的通知
👇 👇 👇
图源|人社部
该通知假冒人力资源社会保障部网站,声称:“根据国家财政部和人力资源社会保障部发布通知,针对薪资补贴、社保补贴、医保补贴、住房补贴、交通补贴、岗位补贴等申领认证,申请通过发放五千元相应补贴金”,实则支付宝扫码跳转至假冒人力资源社会保障部网站,骗取个人信息和钱财。
这是假的!千万别信!
对此
人力资源和社会保障部表示
从未发放过所谓的
“薪资补贴”或“2025年国家财政补贴”
上述通知为不实信息
划重点!
这类诈骗往往利用非法途径
获取群众的手机号、微信号或邮箱等
然后发送虚假信息
诱导群众扫描二维码或点击链接
进入虚假“官方”小程序或网站
并填写身份证、银行卡
验证码等个人信息
以达到骗取钱财的目的
重要提醒
1
人力资源社会保障部门发布的通知不会让您提供银行卡、密码、手机验证码等个人信息
。
2
收到类似“点击网站链接或扫描二维码领取补贴”的信息,一定要提高警惕,切勿随意在陌生网站上填写身份证号、银行卡号、银行卡密码等个人信息,更不能按其提示进行转账汇款等操作
,防止造成财产损失。
3
如不慎遭遇网络诈骗,保存好聊天记录、交易记录等相关证据材料,立即拨打110报警求助
。
转扩提醒
牢记“三不要”
不要信!不要点!不要转!
捂紧自己的钱袋子
文章来源 :freebuf、寿光公安****
精彩推荐
乘风破浪|华盟信安线下网络安全就业班招生中!
【Web精英班·开班】HW加油站,快来充电!