美国政府持续资助的通用漏洞与暴露(CVE)项目近日引发关注。作为该项目的管理者,MITRE组织在4月16日合同到期前宣布了一项重要计划:将CVE项目转型为非营利基金会,以确保全球网络安全漏洞识别和追踪服务的连续性。
这一决策源于美国网络安全与基础设施安全局(CISA)发言人贾里德·奥奇的确认。他表示,CISA已执行合同中的选择期条款,以保障关键CVE服务不受中断。微软、苹果、谷歌和英特尔等大型企业均依赖该系统来识别和追踪全球范围内的网络安全漏洞。
CVE项目的转型计划旨在延续其核心使命:为全球防御者提供高质量的漏洞信息,并维护CVE数据的完整性和可用性。这一非营利模式将使该项目更加独立,避免商业利益的影响,确保其公益性质得以持续。
追踪安全漏洞的关键项目CVE面临资金短缺困境。作为全球网络安全领域的重要资源,该计划由微软、谷歌、苹果、英特尔和AMD等科技巨头广泛采用,用于识别和跟踪公开披露的网络安全漏洞。该项目为工程师提供评估漏洞严重性及制定修复策略的基准依据。
然而,负责运营该项目的联邦资助机构MITRE证实,其维护和更新CVE的合同将于4月16日到期。尽管政府持续努力支持该项目,并通过声明表达了对CVE作为全球资源的重视,但这一变化仍可能给相关工作带来挑战。值得注意的是,除了影响CVE项目本身,这也将波及与之紧密相关的CWE(常见缺陷枚举)计划,该计划负责对硬件和软件漏洞进行系统分类。
MITRE副总裁兼国土安全中心主任约斯里·巴尔苏姆强调了机构对此问题的持续关注与投入。他指出,尽管面临合同到期的变化,各方仍致力于维持该项目的核心价值。