今天,4月16日,CVE计划几乎因为缺乏资金而停止了。该系统列出了世界各地软件中的安全缺陷,最终由美国代理商CISA扩展到Extremis。但是这一集对其未来提出了很多疑问。
如果您从事技术或网络安全工作,则必须越过CVE-2023-12345类型的标识符。这是给出的独特代码安全以便每个人都谈论同一件事。这正是该计划的工作:集中并标准化此信息,以帮助研究人员,企业和政府遵循并纠正漏洞。
该计划自1999年以来就已经存在。它由非营利组织Miter管理,并由美国政府通过CISA机构资助。在25年内,其数据库中已经提及了270,000多个缺陷。对于所有从事计算机系统安全性的人来说,这已经成为必不可少的工具。
几乎把一切都转移了
2025年4月16日,MITER与美国政府之间的合同到期。这次没有自动续订。几个小时,我们认为该程序将停止网络。鉴于CVE在整个网络安全生态系统中的重要性,坏消息。
幸运的是,晚上回头:CISA终于决定扩大合同。因此,目前尚无计划的削减,但是情节表明该关键程序非常重要。
为什么这是一个问题(不仅在美国)
CVE在世界各地使用。当发现故障时,正是此系统允许其命名,遵循并协调答案。如果他消失或停下来,每个人都可能朝各个方向前进。在安全方面,我们显然已经看到了更好的选择。
几位专家发出了警报:如果MITER不再资助,那么实际上还没有其他准备接管的替代方法。像Vulcheck这样的演员试图通过保留CVE代码来预测,但仍然暂时。
为了防止这种风险再次发生,CVE计划的一些成员启动了独立的基础。想法:保证系统的未来而不依赖美国公共资金。就其部分而言,欧盟也正在准备自己的数据库。
简而言之,该计划仍在继续,但每个人都知道有必要考虑未来。因为坦率地说,网络安全不是您可以即兴创作的领域。
