CVE 項目資金危機暫解：網絡安全核心服務獲 11 個月喘息

IT之家 4 月 17 日消息，在美國政府不再為“通用漏洞披露”（CVE）項目提供資金支持后，美國網絡安全與基礎設施安全局（CISA）宣布投資，確保在未來 11 個月內，為該項目提供資金支持。

CISA 向媒體透露，這一決定是在周二晚間做出的，盡管如此，11 個月后是否會繼續延期尚無定論。CISA 可能利用這段時間制定后續計劃，包括關閉數據庫或遷移至其他實體管理。

IT之家注：CVE 項目由美國國土安全部（DHS）國家網絡安全部門資助，是全球網絡安全領域的核心標準。該項目通過 CVE 標識符（CVE IDs）追蹤新發現的漏洞，確保漏洞討論的準確性和一致性。

前 CISA 局長 Jean Easterly 在 LinkedIn 上警告，CVE 數據庫的潛在關閉將對商業風險和國家安全造成嚴重影響，她將其比作網絡安全的“杜威十進制分類法”，強調其不可替代性。

Easterly 進一步指出，若 CVE 數據庫關閉，網絡安全專業人員將如在雜亂無章的圖書館中尋找書籍，無法準確了解威脅所在。這將顯著增加數據泄露和勒索軟件[IT江湖]攻擊的風險，同時推高安全成本，損害消費者和監管機構的信任。

計算機漏洞歷史學家 Brian Martin 也表示，資金中斷將引發“即時的連鎖效應”，損害全球漏洞管理工作。計算機應急響應團隊（CERTs）將失去主要漏洞情報來源，而企業安全管理項目將遭受“迅速而劇烈的痛苦”。