在美国的NVD漏洞数据库因预算削减和漏洞披露机制混乱而备受质疑之际,欧洲趁势推出了自己的“欧洲漏洞数据库”(EUVD)。这不仅填补了全球漏洞管理生态中日益扩大的空白,也释放出欧盟在网络安全主权上的强烈信号。
欧盟网络与信息安全局(ENISA)于本周二正式宣布EUVD全面上线运行,标志着欧洲在漏洞披露和风险缓解体系上进入实战阶段。ENISA 执行主任 Juhan Lepassaar表示:“该数据库是欧盟增强漏洞管理能力、提高透明度的重要工具,为ICT产品和服务的用户提供关键的信息来源,帮助他们及时采取缓解措施。”
CVE体系动荡,欧洲趁势而起
EUVD网站截图
EUVD的推出时间颇具意味。早在2024年6月,ENISA依据《网络与信息安全指令2》(NIS2)开始构建该数据库,并在2025年4月悄然发布了测试版本。当时,美国的CVE项目正经历资金危机,其运营合同差点因政府预算削减而终止,直到CISA临时与MITRE续签合同才得以延命至明年3月。
而就在本周,美国网络安全和基础设施安全局(CISA)宣布将不再在官网上发布常规安全警报,包括被利用的漏洞信息,而改为通过邮件、RSS和X(前 Twitter)发布,引发业内广泛质疑。一位资深安全从业者甚至直言:“现在的美国网络安全体系让人越来越难以信任。”
EUVD有何不同?
与美国国家漏洞数据库(NVD)不同,EUVD并不止步于传统漏洞索引,其更新频率接近实时,并在首页醒目位置突出展示“高危漏洞”和“已被利用的漏洞”,以便企业和机构快速响应。此外,EUVD还提供三个仪表盘视图,分别对应:
-
严重漏洞(Critical)
-
已被利用漏洞(Exploited)
-
欧盟CSIRTS网络协同处理漏洞(Coordinated)
数据来源不仅包括公开数据库,还整合了各国CSIRTS发布的通告、厂商的补丁建议、已知利用信息等,确保信息的权威性与实效性。
EUVD还在每个漏洞条目中显示CVE编号与自有EUVD编号,并关联厂商修复链接,提升用户查找效率。相比当前美国NVD因人手不足而积压严重、界面老旧、导航不便等问题,EUVD的用户体验明显领先。
欧洲的网络安全主权意图日益明显
ENISA目前是CVE项目的授权编号机构(CNA),具备分配CVE编号与协调披露的资质。但在当前CVE项目前景未明的背景下,ENISA也在公告中坦言:“我们正与MITRE就CVE项目未来走向保持沟通,评估相关影响。”言下之意,一旦美国CVE项目持续削弱,欧洲已准备好接棒或独立运行体系。
值得注意的是,EUVD的推出与近期欧盟在“数字主权”层面的政策推进一脉相承。从数据本地化到云服务脱钩,再到漏洞披露机制自主化,欧洲正逐步建立起与美国相对独立的网络安全战略体系。
全球漏洞管理进入多极时代
在全球网络攻击频发、漏洞武器化加剧的背景下,漏洞信息的披露与响应机制成为各国网络防御的关键基石。美国曾长期主导CVE/NVD体系,但当前其资金不稳、政策反复,已使全球信任受挫。
EUVD的正式上线,既是欧洲对网络安全主权的集中展示,也是全球漏洞追踪体系“去中心化”趋势的体现。未来,或许将出现多个区域性数据库并存、协同、甚至竞争的新格局。
参考链接:
https://euvd.enisa.europa.eu/
END
原文始发于微信公众号(GoUpSec):趁乱上位,欧洲漏洞数据库上线
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论