以后是不是0day更多了？由于美国资金不确定性CVE项目面临中断

祺印说信安 2025-04-16 16:01

非营利性 MITRE 公司表示，美国政府资金的不确定性可能会导致通用漏洞和暴露 (CVE) 计划的中断和“恶化”。在给 CVE 董事会的一封信中，MITRE 国土安全中心副总裁兼主任 Yosry Barsoum 表示，与美国政府签订的管理该项目的合同将于 4 月 16 日到期，目前还没有关于未来资金来源的消息。2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他几个相关项目（例如CWE）的现行合同途径将到期。政府将继续大力支持MITRE继续为该项目提供支持。巴尔苏姆解释说。他警告说：“如果服务中断，我们预计 CVE 将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商反应减缓、响应操作受限以及各种关键基础设施。”CVE计划旨在对公开披露的网络安全漏洞进行分类，是漏洞披露和记录流程的重要组成部分，被黑客、供应商和组织广泛用于共享有关网络安全风险的准确和一致的信息。 CVE 计划由运营联邦研发中心的非营利组织 MITRE 公司维护，其资金来自多种渠道，包括美国政府、行业合作伙伴和国际组织。 本月初，由于预期美国政府将削减拨款，MITRE 启动了裁员计划，其弗吉尼亚州办事处的 400 多名员工受到影响。此次裁员是在特朗普政府宣布取消该公司超过 2800 万美元的合同后下令的。此前有消息称，美国国家标准与技术研究院 (NIST) 仍在努力清理官方国家漏洞数据库 (NVD) 中日益增多的 CVE 积压问题，CVE 计划资金由此引发担忧。  据 NIST 称，虽然国家漏洞数据库 (NVD) 处理传入的 CVE 的速度与 2024 年春季和初夏放缓之前的速度相同，但去年提交的数量增加了 32%，这意味着积压的数量仍在继续增加。该研究所表示：“我们预计 2025 年提交率将继续增加”，并指出正在探索使用人工智能和机器学习来自动化某些处理任务。漏洞管理圈已经感受到了积压的影响，其中 NVD 数据被视为真实来源，并不断进行数据分类和丰富。如果不能更快地处理漏洞数据，报告的问题和可操作情报之间的差距就会扩大，并给依赖及时信息来保护系统的组织带来重大问题。NIST 解释说，NVD 当前的工作流程和数据提取系统是为较低的 CVE 提交量而设计的，过时的格式和手动丰富程序造成了严重的瓶颈。美国政府为非营利研究巨头 MITRE 运营和维护其通用漏洞和暴露 ( CVE ) 计划提供的资金将于周三到期，这一前所未有的事态发展可能会动摇全球网络安全生态系统的基础支柱之一。拥有25年历史的CVE项目是漏洞管理的重要工具，它提供了一个事实上的标准，可以使用CVE ID来识别、定义和编目公开披露的安全漏洞。迄今为止，该项目已收录了超过27.4万条CVE记录。MITRE 副总裁兼国土安全中心 (CSH) 主任 Yosry Barsoum 表示，其用于“开发、运营和现代化 CVE 及相关项目，例如常见弱点列举 ( CWE )”的资金即将到期。Barsoum在发给 CVE 董事会成员的一封信中指出：“如果服务中断，我们预计 CVE 将受到多重影响，包括国家漏洞数据库和公告、工具供应商、事件响应操作以及各种关键基础设施的恶化。”不过，巴苏姆指出，政府将继续“做出巨大努力”来支持 MITRE 在该计划中的作用，并且 MITRE 仍然致力于将 CVE 打造为全球资源。CVE 计划于 1999 年 9 月启动，由 MITRE 运营，并得到美国国土安全部 (DHS) 和网络安全与基础设施安全局 (CISA) 的赞助。为了响应这一举措，网络安全公司 VulnCheck（CVE 编号机构 (CNA)）宣布，它将主动为 2025 年预留 1,000 个 CVE，以帮助填补这一空白。Sectigo 高级研究员 Jason Soroko 在分享的一份声明中表示：“服务中断可能会降低国家漏洞数据库和警告的安全性。”这一失误可能会对工具供应商、事件响应操作以及关键基础设施产生广泛的负面影响。MITRE 强调其持续的承诺，但警告称，如果不维持现有的承包途径，可能会产生这些影响。Securonix 高级威胁研究员 Tim Peck ，一个失误可能会对网络安全生态系统造成巨大后果，CNA 和防御者可能无法获取或发布 CVE，从而导致漏洞披露延迟。“此外，通用漏洞枚举 (CWE) 项目对于软件漏洞分类和优先级排序至关重要，”佩克说道。“它的停止将影响安全编码实践和风险评估。CVE 项目是一个基础架构。它不仅仅是一个‘可参考的列表’，它还是私营部门、政府和开源领域漏洞协调、优先级排序和响应工作的主要资源。”— 欢迎关注 往期回顾 —2025收集更新信通院白皮书系列合集（665个）下载——等级保护新等保测评真的取消打分了吗？一点杂谈！新定级备案模板明确数据安全纳入等级保护体系等保定级新模板新要求，2025定级工作新变化2025新形势下新等保备案如何开展测评机构老板与销售注意：浅谈测评机构如何更好的满足属地网安监管？网络安全等级保护：等级保护工作、分级保护工作、密码管理工作三者之间的关系河南省新规定测评与密评预算再调低四川省等级测评与商密评估预算计算方法广西壮族自治区等级测评与商密评估预算为几何？黑龙江财政关于等级测评与商密评估预算为几何？和Deepseek一起共同探讨《国家信息化领导小组关于加强信息安全保障工作的意见》和Deepseek一起共同探讨《关于信息安全等级保护工作的实施意见》与Deepseek一起谈开展等级测评的必要性！——数据安全《网络数据安全管理条例》解读市场监管总局印发《网络交易合规数据报送管理暂行办法》数据安全知识：什么是数据安全？网警提醒  | 3.31世界备份日：重视你的数据安全网络和数据安全合规：15部门发布指导意见助力中小企业全面合规数码复印机数据安全：企业指南《数据安全法》中有关数据安全保护的法律义务——错与罚江苏涟水农村商业银违反网络安全与数据安全管理规定等被罚114.5万网络安全无小事！某企业因疏于防护被依法查处江苏灌南农商行因违反数据安全管理规定等被罚97.5万网安企业“内鬼”监守自盗，窃取个人信息2.08亿条郑州3家公司未履行网络安全保护义务被网信部门约谈25年郑州新增两家公司违反《网络安全法》被市网信办行政处罚驻马店市委网信办就网络安全问题依法约谈相关责任单位两家银行因数据安全相关问题，被罚款河北保定竞秀区委网信办依法约谈网站负责人贵港市网信办公布2起网络安全违法违规典型案例公安机关依法严厉打击侵犯公民个人信息犯罪，10起典型案例公布重庆网信部门近期就企业违法违规情况开展多起约谈与处罚新华社：中国电信、中国移动、中国联通，集体回应！重庆网信部门就一企业系统遭境外组织攻击，开展联合公安约谈——其他浅谈网络“四法四条例四办法一意见”与山东数字政府建设改革方案精彩回顾：祺印说信安2024之前祺印说信安2024年一年回顾网警提醒  | 3.31世界备份日：重视你的数据安全网络安全知识：什么是技术债务？网络安全知识：网络威胁情报解析5月1日起，《国家秘密定密管理规定》正式施行黑客攻击远程服务器十大弱口令