美国资金断供？CVE 计划面临中断危机

MITRE公司警告，美国政府资金不确定性可能导致通用漏洞和暴露（CVE）计划中断，影响国家漏洞数据库更新及关键基础设施安全。

非营利组织MITRE公司表示，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和“恶化”。

在写给CVE董事会的一封信中，MITRE公司国土安全部中心的副总裁兼主任Yosry Barsoum表示，与美国政府管理该计划的合同将于4月16日到期，而后续资金尚未确定。

“2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他相关计划（如CWE）的现有合同途径将到期。政府仍在努力延续MITRE在支持该计划中的角色，”Barsoum解释说。

他警告说：“如果出现服务中断，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，以及对各类关键基础设施的影响。”

CVE计划旨在编目公开披露的网络安全漏洞，是漏洞披露和记录流程中的重要组成部分，被黑客、供应商和组织广泛用于分享关于网络安全风险的准确和一致信息。

该计划由非营利组织MITRE公司维护，该公司运营联邦研发中心，资金来源多样，包括美国政府、行业合作以及国际组织的支持。

本月早些时候，鉴于美国政府资金削减的预期，MITRE在其弗吉尼亚州办公室裁员超过400人。此前，特朗普政府宣布取消该公司价值超过2800万美元的合同。

关于CVE计划资金的担忧，正值美国国家标准与技术研究院（NIST）仍在努力清理国家漏洞数据库（NVD）中不断增加的CVE积压之际。

据NIST称，尽管国家漏洞数据库（NVD）处理新CVE的速度与2024年春季和初夏放缓之前相同，但去年提交量增加了32%，导致积压问题仍在加剧。

“我们预计2025年的提交量将继续增加，”该机构表示，并指出正在探索使用人工智能和机器学习技术来自动化某些处理任务。

积压问题已经在漏洞管理领域显现，NVD数据被视为事实来源，需要持续对数据进行分类和丰富。

如果没有更快地处理漏洞数据，报告问题与可操作情报之间的差距将扩大，这将给依赖及时信息来保护系统的组织带来严重问题。

NIST解释说，NVD现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。

转载请注明出处@安全威胁纵横，封面来源于The Hacker News；

消息来源：https://www.securityweek.com/mitre-signals-potential-cve-program-deterioration-as-us-gov-funding-expires/

更多网络安全视频，请关注视频号“知道创宇404实验室”

原文始发于微信公众号（安全威胁纵横）：美国资金“断供”？CVE 计划面临中断危机