预算展期,CVE 暂免关门,但国内漏洞信息库发展契机仍存
最新消息是 MITRE 获得了预算延长,CVE 暂时避免了停摆的可能性。而且,将会成立 CVE 基金会取代政府拨款去维持 CVE 的运作。
但是,我们可以设想一下:
如果预算到期之后,基金会跟不上呢?
如果基金会为了维持 CVE 运作,把 CVE 转为常见的多层次收费订阅服务呢?
笔者:国际注册信息系统审计师、软考系统分析师、软件工程硕士
题图笔者自摄。
既然 CVE 已经是网络安全的关键基础设施之一,而且是事实上的漏洞中心信息源,其他信息源都与之进行交叉比对和链接,因此,CVE 自身的任何不确定性都会对建筑其上的一切带来颠覆。
典型如 OpenCVE 项目,以后它这订阅费用还有没有得收都是问题。
其他一些网络安全监管机构,比如一般较少人关注的欧盟网络安全局 ENISA( European Union Agency for Cybersecurity),在2024年6月(远远晚于国内数个漏洞信息库包括CNNVD CNVD等的发起时间)已经推出了自己的漏洞数据库 EUVD 项目:
https://euvd.enisa.europa.eu/
不用试,这链接返回 403 Forbidden,包括 ENISA 整个网站。
别人的对策不说了,简单评论一下国内的漏洞信息源建设现状。
首先是漏洞信息源不集中。昨天的行文有点急,只提到 CNVD 一个,主要是因为作为共享平台,行业内对 CNVD 的熟悉程度会更高。
但换个角度看,国内有多个漏洞信息源,对于极其需要中心化编目的漏洞管理来说,明显是浪费资源和增加复杂度。
其次就是覆盖范围。一直以来,国内的漏洞信息源和 CVE 是互补关系,有些被 CVE 编目的漏洞在国内漏洞信息源会有对应的编目,但并不是所有都有。
事实也很容易理解,如果 CVE 能稳定运行,不带歧视地向整个互联网开放(说你呢 EUVD),那就没必要重复造轮子,互补就行。
但现在不确定性出现了。
所以,国内这种漏洞信息源多头各建的局面应有所变革了。集中统一是必要的发展趋势,而且还应该加大覆盖范围,使收集的漏洞信息不仅对囊中羞涩的 CVE 以及小气的 EUVD 形成超集,涵盖更广泛的威胁情报,持续保证必要的开放性和透明度,促进国际合作与交流。
如此整合,将有助于提升我国网络安全基础设施的整体水平,使其跃升为具有全球影响力的平台,进而增强国家在国际网络安全领域的话语权和影响力,为全球网络安全事业做出更大的贡献,构建更加健康、有序的网络空间。
~ 完 ~
本站微信订阅号:
本页网址二维码: