CISA 扩大资金投入，确保“关键CVE服务不出现中断”

CISA 表示，美国政府已扩大资金投入，以确保关键的通用漏洞和暴露 (CVE) 计划不会出现连续性问题。这家美国网络安全机构表示：“CVE 项目对网络社区至关重要，也是 CISA 的首要任务。昨晚，CISA 执行了合同中的选择期，以确保关键的 CVE 服务不会出现中断。我们感谢合作伙伴和利益相关者的耐心。”

此前，MITRE 副总裁 Yosry Barsoum 曾警告称，政府对 CVE 和 CWE 项目的资助将于今天（4 月 16 日）到期，这可能会导致整个网络安全行业出现大范围混乱。

Barsoum 表示：“如果服务中断，我们预计 CVE 将受到多重影响，包括国家漏洞数据库和公告、工具供应商、事件响应操作以及各种关键基础设施的恶化。”

MITRE 维护着 CVE，这是一个被广泛采用的计划，它在讨论安全漏洞时提供准确性、清晰度和共享标准，资金来自美国国土安全部 (DHS) 的国家网络安全部门。

新成立的 CVE 基金会

在 CISA 宣布这一消息之前，一组 CVE 董事会成员宣布成立 CVE 基金会，这是一个非营利组织，旨在确保 CVE 计划的独立性，因为 MITRE 警告称美国政府可能不会续签管理该计划的合同。

他们在上周三的新闻稿中表示： “自成立以来，CVE项目一直由美国政府资助，并通过合同进行监督和管理。虽然这种结构支持了项目的发展，但也引发了CVE董事会成员长期以来的担忧，他们担心一个全球依赖的资源与单一政府资助机构捆绑在一起，其可持续性和中立性会受到影响。”

在过去的一年里，参与启动的人员一直在制定一项战略，将该计划过渡到这个专门的基金会，消除“漏洞管理生态系统中的单点故障”，并确保“CVE 计划仍然是一个全球信赖的、社区驱动的计划”。

虽然 CVE 基金会计划在未来几天发布有关其过渡计划的更多信息，但下一步行动仍不明确，特别是考虑到 CISA 已确认 MITRE 合同的资金已延长。

欧盟网络安全局 (ENISA) 还推出了欧洲漏洞数据库 ( EUVD )，该数据库“通过从多个来源收集公开的漏洞信息，采取多利益相关方方式”。

相关阅读

• CVE 基金会成立
• 美国政府不再为 CVE/CWE 项目提供资金支持