2025-04-17 - 预算展期,CVE 暂免关门,但国内漏洞信息库发展契机仍存
最新消息是 MITRE 获得了预算延长,CVE 暂时避免了停摆的可能性。而且,将会成立 CVE 基金会取代政府拨款去维持 CVE 的运作。
但是,我们可以设想一下:
如果预算到期之后,基金会跟不上呢?
如果基金会为了维持 CVE 运作,把 CVE 转为常见的多层次收费订阅服务呢?
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
题图笔者自摄。
既然 CVE 已经是网络安全的关键基础设施之一,而且是事实上的漏洞中心信息源,其他信息源都与之进行交叉比对和链接,因此,CVE 自身的任何不确定性都会对建筑其上的一切带来颠覆。
典型如 OpenCVE 项目,以后它这订阅费用还有没有得收都是问题。
其他一些网络安全监管机构,比如一般较少人关注的欧盟网络安全局 ENISA( European Union Agency for Cybersecurity),在2024年6月(远远晚于国内数个漏洞信息库包括CNNVD CNVD等的发起时间)已经推出了自己的漏洞数据库 EUVD 项目:
https://euvd.enisa.europa.eu/
不用试,这链接返回 403 Forbidden,包括 ENISA 整个网站。
别人的对策不说了,简单评论一下国内的漏洞信息源建设现状。
首先是漏洞信息源不集中。昨天的行文有点急,只提到 CNVD 一个,主要是因为作为共享平台,行业内对 CNVD 的熟悉程度会更高。
但换个角度看,国内有多个漏洞信息源,对于极其需要中心化编目的漏洞管理来说,明显是浪费资源和增加复杂度。
最新发表
2025-03-25 重视篡改和勒索事件情报分析才能有效应对网络威胁在网络安全防守中,关键在于通过有效资源投入使攻击方认为投入大于收益,从而放弃攻击,这要求防守方必须深入了解攻防态势,做好情报分析,真正做到“知己知彼,百战不殆”。
2025-03-05 从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告从最近国内多起疑似数据勒索事件对照等保标准要求研读美国执法机构发布的勒索软件防范网络安全公告
2025-02-01 CVE-2024-3661,又可以考验发行版补丁及时性了又有新高危漏洞可以测试操作系统发行版的补丁及时性了。这就是 NetworkManager 高危CVE安全漏洞,CVE-2024-3661,CVSSv3评分7.6。
