CVE 項(xiàng)目資金危機(jī)暫解：網(wǎng)絡(luò)安全核心服務(wù)獲 11 個(gè)月喘息

IT之家 4 月 17 日消息，在美國政府不再為“通用漏洞披露”（CVE）項(xiàng)目提供資金支持后，美國網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）宣布投資，確保在未來 11 個(gè)月內(nèi)，為該項(xiàng)目提供資金支持。

CISA 向媒體透露，這一決定是在周二晚間做出的，盡管如此，11 個(gè)月后是否會(huì)繼續(xù)延期尚無定論。CISA 可能利用這段時(shí)間制定后續(xù)計(jì)劃，包括關(guān)閉數(shù)據(jù)庫或遷移至其他實(shí)體管理。

IT之家注：CVE 項(xiàng)目由美國國土安全部（DHS）國家網(wǎng)絡(luò)安全部門資助，是全球網(wǎng)絡(luò)安全領(lǐng)域的核心標(biāo)準(zhǔn)。該項(xiàng)目通過 CVE 標(biāo)識(shí)符（CVE IDs）追蹤新發(fā)現(xiàn)的漏洞，確保漏洞討論的準(zhǔn)確性和一致性。

前 CISA 局長 Jean Easterly 在 LinkedIn 上警告，CVE 數(shù)據(jù)庫的潛在關(guān)閉將對(duì)商業(yè)風(fēng)險(xiǎn)和國家安全造成嚴(yán)重影響，她將其比作網(wǎng)絡(luò)安全的“杜威十進(jìn)制分類法”，強(qiáng)調(diào)其不可替代性。

Easterly 進(jìn)一步指出，若 CVE 數(shù)據(jù)庫關(guān)閉，網(wǎng)絡(luò)安全專業(yè)人員將如在雜亂無章的圖書館中尋找書籍，無法準(zhǔn)確了解威脅所在。這將顯著增加數(shù)據(jù)泄露和勒索軟件[IT江湖]攻擊的風(fēng)險(xiǎn)，同時(shí)推高安全成本，損害消費(fèi)者和監(jiān)管機(jī)構(gòu)的信任。

計(jì)算機(jī)漏洞歷史學(xué)家 Brian Martin 也表示，資金中斷將引發(fā)“即時(shí)的連鎖效應(yīng)”，損害全球漏洞管理工作。計(jì)算機(jī)應(yīng)急響應(yīng)團(tuán)隊(duì)（CERTs）將失去主要漏洞情報(bào)來源，而企業(yè)安全管理項(xiàng)目將遭受“迅速而劇烈的痛苦”。