详细内容或原文请订阅后点击阅览
CVE融资危机力量改变漏洞评估的方法
对过去的实际标准的信任受到破坏;专家正在讨论全球网络总体管理系统的新原则。
来源:OSP网站大数据新闻CVE(常见漏洞和暴露)是一个用于识别和分类软件、操作系统和其他 IT 产品中的漏洞的国际系统。 CVE 为每个已知漏洞提供唯一标识符,使网络安全专业人员能够轻松共享有关漏洞的信息并协调缓解工作。 2024年,记录的漏洞数量超过4万个,比上年增长38%。而且,其中危险级别的有2万多人,危急级别的有4400人。
然而,2025 年初,根据与美国网络安全和基础设施局 (CISA) 签订的合同管理 CVE 的组织 MITRE 公司宣布将停止资助该计划,这成为唐纳德·特朗普政府广泛撤回对各种国际倡议的支持的另一个受害者。
这在网络安全社区引起了相当大的恐慌,因为 CVE 是跟踪和解决漏洞的关键资源。由于 CISA 能够行使 11 个月的融资延期选项,危机暂时得到解决。
然而,这并不能消除 CVE 计划未来的长期不确定性。也许紧急成立的独立非营利组织CVE基金会将能够确保该项目的管理更加可持续和透明,并使资金来源多样化。
事实上,CVE 长期以来通过提供识别和跟踪漏洞的标准化方法在信息安全生态系统中发挥着独特的作用。停止或减少对该计划的支持可能会导致组织之间对抗漏洞的协调减少,减慢识别和解决漏洞的过程,并增加大量依赖 CVE 作为漏洞数据主要来源的组织的风险。