漏洞CVE项目合同今天到期,最后时刻续上,欧盟差点截胡

原创 suntiger 二进制空间安全 2025-04-17 08:11

part1

点击上方
蓝字
关注我们

将二进制空间安全设为”星标⭐️”

第一时间收到文章更新

CVE项目到期

---

一个全球网络安全专业人士赖以识别、缓解和修复软件与硬件安全漏洞的关键资源，正面临瘫痪的风险。MITRE 是一家获得联邦资助的非营利研发机构，该机构今天警告说，其维护“常见漏洞与披露”（CVE）项目的合同将于 2025 年 4 月 16 日到期，而该合同传统上由美国国土安全部每年提供资金支持。

每年都有数万个软件安全漏洞被发现和报告，这些漏洞最终会被分配一个唯一的 CVE 跟踪编号（如 CVE-2024-43573）。

目前有数百个组织被 MITRE 授权作为 CVE 编号分配机构（CNAs），这些组织有的是国家级或政府背景的，也有的是特定软件厂商或漏洞披露平台（如漏洞赏金计划）所属。

简单来说，MITRE 是在软件漏洞信息集中与标准化方面的重要资源。其提供的信息被整合进各种网络安全工具和服务中，帮助机构及时识别并修补安全漏洞，防止恶意软件或攻击者趁虚而入。CVE 列表真正提供的是一种标准化的方式，用于描述缺陷的严重性，并集中列出哪些产品版本存在缺陷、需要更新。

MITRE 目前用于开发、运营和现代化 CVE 及其他相关项目的合同渠道将于 2025 年 4 月 16 日到期。如果发生服务中断，CVE 将受到多方面影响，包括国家漏洞数据库和安全通告的恶化、安全工具厂商、事件响应操作及关键基础设施等都会受影响。在资金到期后，CVE 网站仍将继续上线，但新漏洞将不再被分配 CVE 编号。

欧盟动作

---

根据分布式网友提供的线索,欧盟的两个网站值得注意, 第一个:

网址: 
https://gcve.eu/2025/04/16/gcve-allocation-announced/

第二个:

网址:
https://euvd.enisa.europa.eu/

可以从这里了解下欧盟的这个GCVE: 
https://gcve.eu/about/

CVE合同续签和基金会成立

---

根据ChatGPT最新的提醒, 有两个最新的消息,如图:

一个是合同最后时刻续签了, 去证实了下,还真有其事,合同延期了11个月:

网址: 
https://www.meritalk.com/articles/cisa-extends-cve-program-contract-at-11th-hour-averting-disruption/

另外, CVE正式成了基金会, 以确保该项目长期拥有充足的资金支持：

网址:
https://www.thecvefoundation.org/