【2025-04-16 21:38:00AI Siri网最新消息】
-xl-xl.jpg)
美国政府已经削减了其对 CVE 数据库的资助,该数据库用于追踪操作系统和软件中的安全漏洞。这一变化可能会使苹果公司更难监控和修复软件问题。
通用漏洞披露 (CVE) 数据库是现代网络安全的重要组成部分。它是一个中央数据库,包含操作系统和应用程序中发现的漏洞,黑客和恶意软件可以利用这些漏洞以各种方式攻击目标。
周二,国防非营利组织 MITRE 公司表示,其维护 CVE 数据库的资金将于周三到期。与此同时,通用弱点枚举 (CWE) 计划也将失去资金。
网络安全和基础设施安全局 (CISA) 向路透社证实,该合同即将到期。美国国土安全部,CISA 的母公司,此前资助了该合同。
CISA 补充说,它正在努力减轻其影响,并尽可能地维护 CVE 服务。但并未说明是否会正式接管该数据库的维护工作。
对于合同为何失效,也没有给出解释。但有分析认为,CVE 数据库项目可能受到了埃隆·马斯克领导的 DOGE 服务公司削减成本的影响。
关键系统的大影响
CVE 是安全生态系统的重要组成部分,苹果经常会关注其中的问题。iOS 和 macOS 的许多安全更新都引用了 CVE 中的条目,这使得研究人员能够了解已修复的问题以及已阻止的漏洞。
作为一个开发者和研究人员经常查阅的中央数据库,它可以最大限度地减少列表和工作的重复,因此,研究人员可以更轻松地协作解决问题。它也已成为整个安全行业引用漏洞的标准方式。
资金的丧失立即引起了安全研究人员和该领域其他成员的普遍抗议,他们认为这对整体安全来说是一件坏事。CVE数据库在信息安全领域具有标准化意义,一旦缺少统一维护,查找、报告和解决安全漏洞将变得更加困难。
前 CISA 负责人 Jean Easterley 在 LinkedIn 上写道,CVE 数据库的潜在关闭对商业风险和国家安全具有严重影响。她将其比作网络安全的杜威十进制系统,其损失对于研究人员来说将是深远的。
Easterly 写道:“就像图书馆员试图在 disorganized 图书馆中找到一本书一样,网络安全专业人员将试图在不知道确切威胁是什么或在哪里找到它们的情况下保护您的系统。”
这位前机构负责人补充说,失去 CVE 将意味着违规和勒索软件的风险增加,安全成本更高,以及消费者和监管机构信任的丧失。
计算机漏洞历史学家 Brian Martin 表示,这将产生“立即的连锁反应”,损害全球的漏洞管理。Martin 补充说,计算机紧急响应小组 (CERT) 将无法获得主要的漏洞情报来源,而公司将在其安全管理项目中经历“迅速而剧烈的痛苦”。可以预见的是,小型安全公司在漏洞分析和防护方面将受到较大冲击,进而影响到整体安全生态的平衡。
