因为美国政府不再提供资金支持,作为全球化信息安全基石的CVE项目要停止运营?全球信息安全领域经历了惊魂一夜。这可能又是一个降本增效切到大动脉的典型案例🐶
一、事件经过
北京时间2025年4月16日,大神Tib3rius披露了一封内部信,爆料称美国政府的资金支持合同将在2025年4月16日午夜到期(大约为北京时间4月17日12:00)。合同到期后,CVE将失去资金来源。虽然合同到期并不意味着现有资金立即清零,但如果没有稳定资金来源,缩减甚至停摆将是大概率会发生的事情。
紧接着一个组织宣称成立了CVE基金会,来保障CVE项目的未来安全。不过这似乎不是CVE董事会的官方行为,请大家谨慎判断。
几个小时后,CVE项目秘书处发表声明,表示在政府的努力下,CVE项目将继续运营。有消息称是CISA执行了合同的期权期(the option period on the contract),将合同延期11个月。至此事件暂时告一段落。
二、CVE是什么
CVE 的全称是 "Common Vulnerabilities and Exposures" ,即 "通用漏洞披露"。它是一个由美国非营利组织 MITRE 公司 管理的国际知名漏洞库,为每个公开披露的漏洞分配一个唯一的标识符(CVE 编号),以便于安全研究人员、软件供应商和用户能够更方便地识别、跟踪和管理安全漏洞。
简单理解,CVE就相当于为全球范围内的每一个安全漏洞发放身份证号(CVE编号)。有了这个编号,全球众多机构和技术人员就可以更好地展开协作。CVE并不是什么"法定"组织,但成立26年来已经成为全球公认的漏洞编号机构和最权威的信息披露来源,可以说是全球化信息安全协作的基石。
CVE项目从1999年成立,多年来一直由美国政府提供资金。近几年主要是美国国土安全部(United States Department of Homeland Security,简称DHS)下属的网络安全和基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)在提供支持,上面也提到是由CISA执行的合同期权期。
三、CVE停摆会有什么影响
CVE作为全球网络安全领域的核心基础设施,其停止工作将引发连锁反应,波及漏洞管理、安全产品、信息共享、合规要求等多个维度。
1. 漏洞管理体系崩溃
(1) 编号系统失效
CVE为每个漏洞分配唯一标识符(如CVE-2021-44228),确保全球范围内的漏洞讨论一致性。若CVE停止,新漏洞将无法获得标准化编号,导致漏洞信息碎片化。例如,同一漏洞可能被不同机构重复命名,或因缺乏统一标识而被忽视。这将直接影响安全团队对漏洞的追踪、分类和优先级排序。
(2) 漏洞数据更新停滞
MITRE公司负责维护CVE数据库,若资金中断,历史漏洞记录可能被封存,新漏洞无法入库。例如,国家漏洞数据库(NVD)依赖CVE数据,若CVE停止,NVD将无法更新漏洞描述、CVSS评分及补丁信息,导致安全研究人员和企业失去关键参考依据。
(3) 漏洞响应机制瘫痪
安全厂商和开源社区依赖CVE编号协调漏洞修复。例如,前几年的史诗级Log4j漏洞(CVE-2021-44228)通过CVE系统快速传播信息,促使全球修复。若CVE停止,类似事件的响应将陷入混乱,厂商可能无法及时发布补丁,用户难以评估风险。
2. 安全产品与服务失效
(1) 工具链失效
防火墙、入侵检测系统(IDS)、漏洞扫描器等安全工具依赖CVE编号更新规则库。例如,Tenable Nessus等扫描工具通过CVE编号识别漏洞,若CVE停止,这些工具将无法准确检测新漏洞,导致防御能力下降。
(2) 威胁情报中断
威胁情报平台(如FireEye、Recorded Future)依赖CVE数据生成风险评估报告。若CVE停止,情报提供商需手动整合分散的漏洞信息,时效性和准确性将大幅降低,企业难以制定有效的防御策略。
(3) 开源生态受损
开源项目(如Linux内核、Apache)通过CVE追踪漏洞。若CVE停止,开源社区可能转向分散的漏洞管理方式,增加维护成本。例如,GitHub CNA(编号机构)需自行管理漏洞编号,可能导致与其他平台的兼容性问题。
3. 信息共享与协作瓦解
(1) 跨机构沟通受阻
CVE是安全研究人员、厂商、政府机构之间的“通用语言”。例如,微软、谷歌等厂商通过CVE披露漏洞细节,安全研究人员基于CVE编号发布分析报告。若CVE停止,信息共享将依赖非标准化渠道,可能导致关键信息遗漏或误判。
(2) 国际协作机制瘫痪
全球CVE编号机构(英文简称CNAs,可以认为是CVE项目体系的重要组成部分)负责分配漏洞编号,若CVE停止,CNAs将失去统一框架,可能导致区域化漏洞管理体系崛起。例如,欧洲可能推动独立的漏洞数据库,与美国体系形成割裂,削弱全球协同防御能力。
(3) 学术研究受阻
安全领域的学术论文、会议报告普遍使用CVE编号引用漏洞。若CVE停止,研究成果的引用和比较将变得困难,可能延缓技术进步。例如,Black Hat、DEF CON等会议需调整论文评审标准,增加管理成本。
4. 合规与法规要求失效
(1) 行业标准失效
许多合规框架(如PCI DSS、GDPR)要求企业追踪并修复CVE漏洞。若CVE停止,企业需寻找替代方案,如依赖厂商公告或第三方数据库,可能导致合规证明的可信度下降,增加审计难度。
(2) 政府监管失效
美国CISA、欧洲ENISA等机构依赖CVE数据发布安全公告。若CVE停止,政府机构需自建漏洞数据库,可能因资源有限导致漏洞披露延迟。例如,CISA的"已知利用漏洞目录"(KEV)将无法更新,影响关键基础设施保护。
(3) 供应链安全失控
软件供应链中的组件漏洞(如开源库、第三方插件)通常通过CVE追踪。若CVE停止,企业难以评估第三方组件的安全性,可能导致更多供应链攻击事件。例如,SolarWinds攻击(CVE-2020-10148)若未被CVE记录,可能被更多组织忽视。
5. 长期影响
(1) 安全成本上升
企业需投入更多资源整合分散的漏洞信息,安全工具厂商需重构数据模型,可能导致安全预算增加30%-50%。
(2) 攻击面扩大
漏洞信息传播延迟将导致攻击者利用未公开漏洞的时间窗口延长。例如,零日漏洞的平均发现到修复时间可能从30天延长至90天。
(3) 行业协作机制重建
可能催生新的全球漏洞管理标准,如CVE基金会的成立,试图将CVE过渡为独立非营利项目,但过渡期可能持续数年。
总结
CVE的停止将导致全球网络安全生态系统的“心脏骤停”,短期内引发漏洞管理混乱、安全产品失效、合规风险激增,长期可能推动行业重建协作机制。尽管CISA提供了11个月的临时资金支持,但根本性问题(如单一政府依赖、可持续性)仍未解决。企业需未雨绸缪,评估替代方案,加强内部漏洞管理能力,以应对潜在的系统性风险。
