25年漏洞追蹤體系即將終結

美國非營利研發組織MITRE宣布，其與美國國土安全部（DHS）簽訂的"通用漏洞披露（CVE）"數據庫維護合同將于2025年4月16日午夜到期。這個運行25年的項目作為網絡安全防御體系的核心支柱，因DHS未說明具體原因拒絕續約而面臨終止。

MITRE國土安全中心主任Yosry Barsoum在致CVE委員會的信函中證實："2025年4月16日（周三），MITRE用于開發、運營和現代化CVE?項目及相關計劃（如通用缺陷枚舉CWE?項目）的資金將終止。政府仍在大力支持MITRE在項目中的角色，MITRE也始終將CVE視為全球公共資源。"

業界痛斥"悲劇性決定"

蘭德公司高級政策研究員Sasha Romanosky將CVE項目的終結稱為"悲劇"，這一觀點得到眾多網絡安全專家的認同。他表示："CVE編號及軟件版本漏洞分配是整個漏洞生態系統的基石。失去它，我們將無法追蹤新發現漏洞、評估嚴重性、預測利用風險，更無法做出最佳修復決策。"

Bitsight首席科學家Ben Edwards表示："這令人深感遺憾。CVE是絕對值得持續資助的寶貴資源，不續約是個錯誤決策。"他補充道："希望中斷只是暫時的。若合同最終未能續簽，生態系統中其他利益相關方或許能接手MITRE的工作。得益于該系統的聯邦架構和開放性，這種過渡存在可能，但轉移運營主體必將充滿挑戰。"

全球網絡安全基石崩塌

MITRE的CVE項目是全球網絡安全生態的基礎支柱，已成為識別漏洞和指導防御者實施漏洞管理的事實標準。它為供應商產品提供核心數據支撐，涉及漏洞管理、網絡威脅情報、安全信息與事件管理（SIEM）、終端檢測與響應（EDR）等多個領域。

盡管美國國家標準與技術研究院（NIST）通過國家漏洞數據庫（NVD）對CVE記錄進行補充，網絡安全與基礎設施安全局（CISA）也因NVD資金短缺啟動"漏洞增強"計劃協助完善記錄，但MITRE始終是CVE記錄的原始發布者和安全缺陷識別的主要來源。

安全項目Security Errata首席安全官、前CVE委員會成員Brian Martin在LinkedIn警告："若MITRE資金鏈斷裂，將立即引發全球范圍的連鎖反應——首先，聯邦模型和CVE編號機構（CNA）無法再分配ID并提交MITRE快速發布；其次，這直接動搖本已舉步維艱的NVD數據庫根基（當前積壓超3萬個未處理漏洞，另有8萬個被'暫緩'分析）；再者，所有依賴CVE的廠商需另尋情報源；最后，各國CERT機構將失去免費漏洞情報渠道。"

預算削減背后的政治因素

在持續資助這個備受推崇的項目25年后，DHS突然終止合同的原因尚不明確。有分析指出，特朗普政府通過埃隆·馬斯克主導的"政府效能改革"計劃大幅削減財政支出，網絡安全與基礎設施安全局（CISA）成為重災區——盡管該局已經歷兩輪裁員，近40%（約1300名）員工仍面臨解雇。但知情人士透露，相比聯邦政府其他部門的預算削減，維持CVE項目的開支微不足道，"根本不會造成財政壓力"。

后續影響與行業應對

接近CVE項目的消息人士稱，自4月15日午夜起，MITRE將停止更新漏洞數據庫（歷史記錄仍存于GitHub）。真正的懸念在于私營領域能否出現替代方案。

威脅情報公司VulnCheck研究員Patrick Garrity表示："在NVD數據庫去年崩潰后，當前漏洞生態系統本就脆弱。CVE項目若受影響，將對防御者和安全社區造成嚴重傷害。"該公司已提前預留1000個2025年CVE編號，承諾繼續為社區提供服務。

CISA發言人向CSO表示："作為CVE項目主要資助方，我們正緊急采取措施減輕影響，維護全球依賴的CVE服務。"該程序被政府和產業界共同用于披露、分類和共享可能危及國家關鍵基礎設施的技術漏洞信息。