美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的”通用漏洞披露(CVE)”数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱,因DHS未说明具体原因拒绝续约而面临终止。MITRE国土安全中心主任Yosry Barsoum在致CVE委员会的信函中证实:”2025年4月16日(周三),MITRE用于开发、运营和现代化CVE®项目及相关计划(如通用缺陷枚举CWE™项目)的资金将终止。政府仍在大力支持MITRE在项目中的角色,MITRE也始终将CVE视为全球公共资源。
安全圈最近爆出个大新闻,有点让人难以置信:美国政府似乎切断了对全球通用漏洞披露(CVE)项目的资金支持。管理这个项目的一直是 MITRE 公司。这消息要是属实,不啻于在全球网络安全领域投下了一枚重磅炸弹。
经费真的停了
消息最初由安全研究员 Tib3rius 披露。MITRE 对 CVE 项目的合同支持在 4 月 16 日到期。MITRE 已经向 CVE 董事会发出了预警。
事情的严重性让知名安全组织 vx-underground 迅速行动,他们备份了 MITRE 的整个 CVE 数据库,并公之于众。他们的意思是,万一官方数据库哪天访问不了,至少还有个备份可用。
随后,英国科技媒体 The Register 跟进报道确认了此事。MITRE 负责国土安全中心的副总裁 Yosry Barsoum 证实,支持 CVE 项目以及相关 CWE(通用弱点枚举)项目的政府资金确实到期了。MITRE 表示仍在努力争取政府支持,并会继续为 CVE 项目服务。
预算削减的“神操作”
这事儿的根源,似乎得追溯到美国政府近年的财政紧缩政策。为了削减预算,他们到处找地方省钱。漏洞管理这种看似“务虚”的工作,可能就被盯上了。
查阅美国政府公开数据库 USASpending.gov,MITRE 从 2008 年起累计从政府拿了约 15 亿美元。支持 CVE 项目的年度预算大概在千万美元级别。为了省下这点钱,就要动摇全球漏洞信息管理体系的基石?这笔账算得确实让人费解。
没有 CVE 的世界:一团乱麻
CVE 项目的核心价值,是给每一个新发现的安全漏洞分配一个全球唯一的“身份证号”(CVE ID)。像 OpenSSL 的 Heartbleed (CVE-2014-0160)、英特尔的 Meltdown (CVE-2017-5754),都有自己的编号。
有了这个统一编号,软件厂商、安全研究员、企业用户在讨论漏洞、发布补丁、评估风险时,才能确保说的是同一件事。全球绝大多数企业、开发者、研究机构都依赖 CVE 系统来管理漏洞、修复补丁。
现在经费一停,MITRE 可能短时间内无法为新漏洞分配 CVE 编号。Trend Micro 漏洞情报负责人 Dustin Childs 说得很直接:“没有 CVE,我们就会回到各说各话的原始年代,那将是一场真正的灾难。” 他在这个行业的时间比 CVE 还要长,深知以前的混乱。想想看,去年一年就发布了超过四万个新 CVE。
业界的自救与担忧
面对可能的混乱,业界并没有坐以待毙。安全公司 VulnCheck 已经宣布预留了 1000 个 CVE 编号,供 2025 年使用,希望能在短期内应急。但这只是杯水车薪。MITRE 每月要分配 300 到 600 个编号,1000 个最多撑一两个月。
VulnCheck 的研究员 Patrick Garrity 认为:“如果政府真的不再支持 CVE 项目,安全业界必须自己站出来,组建一个新的联盟,填补这个真空。”
Luta Security 的创始人 Katie Moussouris 警告说:“CVE 是网络安全的基石。支持上的任何缺口,都会给我们的关键基础设施和国家安全带来无法接受的风险。” 她用了一个比喻:“全世界都在靠 CVE 系统艰难应对威胁,突然切断行业的‘氧气’,难道指望安全界集体进化出‘鱼鳃’?”
谁的机会:我国的 CNCVE
美国政府这个举动,无异于自拆长城。统一的漏洞信息体系一旦中断,全球网络安全防御将面临巨大挑战。这对美国自身的网络安全绝对不是好事。有人评论说,这是美国技术领导力衰退的又一个迹象。
省小钱可能引来大麻烦。历史上财政短视导致更大灾难的例子不少。当年崇祯皇帝裁撤驿站,省下的钱微不足道,却间接“成就”了李自成。今天美国掐断 CVE 的资金,未来漏洞泛滥造成重大安全事件时,付出的代价恐怕远不止这几千万美元。
对美国可能是灾难,对中国来说,这或许提供了一个意想不到的机会。中国近年来也在积极建设自己的国家漏洞库(CNCVE),由国家计算机网络应急技术处理协调中心(CNCERT/CC)负责。
之前阿里巴巴发现 Log4j 漏洞先提交给 Apache 而未立即报告主管部门,曾引发争议并受到处罚。现在,如果 CVE 的权威性和稳定性受到冲击,全球的安全研究者在寻求稳定、高效的漏洞披露渠道时,目光或许会更多地投向中国的 CNCVE。
短视的代价
美国政府停止对 CVE 项目的资助,无疑给全球网络安全带来了巨大的不确定性。短期内可能出现新漏洞编号分配的混乱。长期看,业界或许会形成新的协作机制,但重建信任和效率需要时间。这次事件的影响深远,后续如何发展,我们将持续关注。唯一可以确定的是,网络安全防御的长城上,出现了一个不应有的缺口。砍掉 CVE 经费看似省钱,后续的代价可能极其高昂;全球网络安全是一个整体,统一的标准和信息共享至关重要,破坏这个体系,最终可能反噬自身。