预算展期，CVE 暂免关门，但国内漏洞信息库发展契机仍存

原创 Sender Su wavecn 2025-04-17 08:44

最新消息是 MITRE 获得了预算延长，CVE 暂时避免了停摆的可能性。而且，将会成立 CVE 基金会取代政府拨款去维持 CVE 的运作。

但是，我们可以设想一下：

如果预算到期之后，基金会跟不上呢？

如果基金会为了维持 CVE 运作，把 CVE 转为常见的多层次收费订阅服务呢？

笔者：	国际注册信息系统审计师（CISA） 软考系统分析师 软件工程硕士

题图笔者自摄。

既然 CVE 已经是网络安全的关键基础设施之一，而且是事实上的漏洞中心信息源，其他信息源都与之进行交叉比对和链接，因此，CVE 自身的任何不确定性都会对建筑其上的一切带来颠覆。

典型如 OpenCVE 项目，以后它这订阅费用还有没有得收都是问题。

其他一些网络安全监管机构，比如
一般较少人关注的
欧盟网络安全局 ENISA（ 
European Union Agency for Cybersecurity），在2024年6月（
远远晚于国内数个漏洞信息库包括CNNVD CNVD等的发起时间）已经推出了自己的漏洞数据库 EUVD 项目：

https://euvd.enisa.europa.eu/

不用试，这链接返回 403 Forbidden，包括 ENISA 整个网站。

别人的对策不说了，简单评论一下国内的漏洞信息源建设现状。

首先是漏洞信息源不集中。昨天的行文有点急，只提到 CNVD 一个，主要是因为作为共享平台，行业内对 CNVD 的熟悉程度会更高。

但换个角度看，国内有多个漏洞信息源，对于极其需要中心化编目的漏洞管理来说，明显是浪费资源和增加复杂度。

其次就是覆盖范围。一直以来，国内的漏洞信息源和 CVE 是互补关系，有些被 CVE 编目的漏洞在国内漏洞信息源会有对应的编目，但并不是所有都有。

事实也很容易理解，如果 CVE 能稳定运行，不带歧视地向整个互联网开放（说你呢 EUVD），那就没必要重复造轮子，互补就行。

但现在不确定性出现了。

所以，国内这种漏洞信息源多头各建的局面应有所变革了。集中统一是必要的发展趋势，而且还应该加大覆盖范围，使收集的漏洞信息不仅对囊中羞涩的 CVE 以及小气的 EUVD 形成超集，涵盖更广泛的威胁情报，持续保证必要的开放性和透明度，促进国际合作与交流。

如此整合，将有助于提升我国网络安全基础设施的整体水平，使其跃升为具有全球影响力的平台，进而增强国家在国际网络安全领域的话语权和影响力，为全球网络安全事业做出更大的贡献，构建更加健康、有序的网络空间。

~ 完 ~

点赞和转发都是免费的
↓