维护通用漏洞与暴露(CVE)数据库的非营利组织 MITRE 4 月 15 日表示,美国政府为其运营提供的资金将到期且不再续约;然而,在 4 月 16 日上午的最后一刻宣布了逆转,CISA表示已扩展对该数据库的支持。与此同时,CVE 董事会成员成立了 CVE 基金会,这是一个不隶属于美国联邦政府的非营利组织,以维持 CVE 计划。
CVE 计划自 1999 年开始实施,是报告和跟踪漏洞的重要方式。许多其他网络安全资源,例如更新和报告,请参阅 CVE 编号来识别缺陷和修复。称为 CVE 编号机构的组织与 MITRE 相关联,并被授权分配 CVE 编号。
众包网络安全中心 Bugcrowd 的创始人 Casey Ellis 在给 TechRepublic 的电子邮件中写道:“CVE 支撑着漏洞管理、事件响应和关键基础设施保护工作的很大一部分。” “服务突然中断很有可能在短时间内引发国家安全问题。”
MITRE 的资金预计将在不续约的情况下耗尽
一个致 CVE 董事会成员的信函周二开始在社交媒体上流传。
MITRE 下属国土安全中心副总裁兼主任约斯里·巴苏姆 (Yosry Barsoum) 在信中表示:“MITRE 目前开发、运营和现代化 CVE 以及 CWE 等其他几个相关项目的合同途径将到期。”
CWE 是 Common Weakness Enumeration,即常见弱点枚举,即硬件和软件弱点列表。
“政府继续做出巨大努力,继续 MITRE 在支持该计划方面的作用,”巴苏姆写道。
MITRE 传统上由国土安全部资助。
下载:通过我们的预制和可定制保护您的公司。
MITRE 没有回应 TechRepublic 关于到期原因或网络安全专业人士接下来可以期待什么的问题。
该基金会尚未具体说明资金削减是否与政府效率部(DOGE)的大范围淘汰有关。
在 CISA 宣布这一消息之前,一家独立基金会表示他们准备介入以继续 CVE 计划。 CVE 基金会是一个致力于维护 CVE 提交程序和数据库的非营利组织。
“虽然我们希望这一天不会到来,但我们一直在为这种可能性做好准备。”写了一个匿名的CVE 基金会代表在新闻稿中周三。 “作为回应,由长期活跃的 CVE 董事会成员组成的联盟在过去一年里制定了一项战略,将 CVE 转变为专门的非营利基金会。”
CVE 基金会计划详细说明其结构、时间表以及未来参与的机会。随着 CISA 扩大资助,该基金会可能还不再需要——尽管知道其服务和备份可用可能会让人放心。