沒錯(cuò)，就是那個(gè)報(bào)漏洞的 CVE 項(xiàng)目，美國(guó)政府竟然掐斷了它的資金。這不是自毀長(zhǎng)城是什么？中國(guó)的CNCVE估計(jì)能笑暈在廁所了。

最近安全圈子又起了一場(chǎng)驚天波瀾：報(bào)漏洞的 CVE 組織被美國(guó)政府?dāng)嗄塘?/strong>。

CVE（Common Vulnerabilities and Exposures），也就是通用漏洞披露標(biāo)準(zhǔn)，簡(jiǎn)單說就是給每個(gè)漏洞發(fā)放全球統(tǒng)一的“身份證號(hào)”，讓廠商、研究員和用戶交流時(shí)都能精準(zhǔn)對(duì)號(hào)入座。MITRE 則一直扮演著CVE的“管理員”，給全球每年四萬多個(gè)漏洞地分配編號(hào)。

發(fā)生了什么？

據(jù) Tib3rius爆料，MITRE 對(duì) CVE 項(xiàng)目的支持將于明天到期，而且他們已經(jīng)給 CVE 董事會(huì)成員發(fā)過警示信。

隨后，圈內(nèi)知名組織 vx-underground 緊急備份了MITRE的CVE數(shù)據(jù)庫(kù)，并公開在 https://vx-underground.org/Archive/CVE ，表示萬一CVE數(shù)據(jù)庫(kù)哪天神奇消失了，至少還有備份。

為啥要砍CVE？

英國(guó)科技媒體 The Register 進(jìn)行了跟進(jìn)報(bào)道（具體翻譯內(nèi)容見后）與進(jìn)一步挖掘，事情的根源要追溯到特朗普政府上臺(tái)后的財(cái)政政策。他們?yōu)橄鳒p預(yù)算四處尋找節(jié)流之處，似乎覺得漏洞管理這種“虛無縹緲”的東西也能省下不少錢。

根據(jù)美國(guó)政府公開數(shù)據(jù)庫(kù) USASpending.gov，MITRE 自 2008 年以來累計(jì)從美國(guó)政府獲得了約15億美元的資金。每年上千萬美元投入，換來的是全球安全行業(yè)的井然有序，現(xiàn)在要為了節(jié)省區(qū)區(qū)幾千萬美元的年度預(yù)算就徹底掐斷CVE？美國(guó)政府這算盤打得可真夠神奇的。

這場(chǎng)預(yù)算削減帶來的結(jié)果相當(dāng)明顯：MITRE可能在短時(shí)間內(nèi)無法繼續(xù)為新漏洞分配CVE編號(hào)，全球漏洞信息系統(tǒng)將陷入混亂狀態(tài)。Trend Micro的漏洞情報(bào)負(fù)責(zé)人Dustin Childs接受The Register采訪時(shí)直言不諱：“沒有CVE，我們又將回到各家自說自話的原始年代，那將是一場(chǎng)真正的災(zāi)難?！?/p>

圈內(nèi)組織當(dāng)然也沒閑著。安全公司 VulnCheck 已經(jīng)提前為2025年預(yù)留了1000個(gè)CVE編號(hào)，以防止短期內(nèi)出現(xiàn)徹底的混亂。但每月全球需要300到600個(gè)編號(hào)，1000個(gè)也就能撐上一兩個(gè)月。之后該怎么辦？VulnCheck的研究員Patrick Garrity表示：“如果政府真不給CVE續(xù)命，安全業(yè)界必須自發(fā)組建一個(gè)新聯(lián)盟，填補(bǔ)這個(gè)真空?！?/p>

CNCVE機(jī)會(huì)來了？

MITRE 所負(fù)責(zé)的 CVE 斷供，意味著全球統(tǒng)一的漏洞信息體系可能出現(xiàn)中斷；美國(guó)像是在自拆長(zhǎng)城，以后“漏洞靶子”擺上桌，黑客可就一點(diǎn)兒都不會(huì)手軟了。有人說這是“懂王”上臺(tái)后做過最 “SB” 事之一，也是美國(guó)技術(shù)領(lǐng)導(dǎo)地位逐漸衰退的又一例證。

砍掉CVE看起來是省了點(diǎn)錢，但正如歷史上無數(shù)次財(cái)政短視一樣，節(jié)流之后的代價(jià)往往更為高昂。當(dāng)年崇禎皇帝裁撤驛站人員，看似微不足道的小錢，結(jié)果卻間接催生了李自成。美國(guó)政府這回掐掉CVE的資金供應(yīng)，等到漏洞帶來的大麻煩真的爆發(fā)，恐怕要花出去的錢就不是區(qū)區(qū)數(shù)千萬美元那么簡(jiǎn)單了。

這件事對(duì)美國(guó)來說是災(zāi)難，但對(duì)中國(guó)卻可能是個(gè)絕佳的機(jī)會(huì)。近年來，中國(guó)也在搭建屬于自己的漏洞披露平臺(tái)CNCVE，由CNCERT/CC國(guó)家計(jì)算機(jī)網(wǎng)絡(luò)應(yīng)急處理協(xié)調(diào)中心牽頭。

之前曾經(jīng)出現(xiàn)過阿里巴巴發(fā)現(xiàn)log4j漏洞后直接提交給CVE而沒有通報(bào)中國(guó)主管部門，結(jié)果遭到工信部批評(píng)與懲治。如今老美主動(dòng)撤退，未來全球的安全研究者如果想穩(wěn)定、高效地披露漏洞，說不定就只能敲中國(guó) CNCVE 大門了

The Register 報(bào)道原文翻譯如下：https://www.theregister.com/2025/04/16/homeland_security_funding_for_cve/

Uncle Sam 說停就停，CVE 項(xiàng)目經(jīng)費(fèi)慘遭斷奶 沒錯(cuò)，就是那個(gè) CVE 項(xiàng)目

因?yàn)楣芾砺┒锤鷩?guó)家安全一點(diǎn)兒關(guān)系都沒有，對(duì)吧？

Jessica Lyons　2025 年 4 月 16 日（周三）/ 00:00 UTC

美國(guó)政府對(duì)全球 CVE 項(xiàng)目的資金支持 —— 也就是那個(gè)集中管理各種產(chǎn)品安全漏洞的通用漏洞與披露（Common Vulnerabilities and Exposures）數(shù)據(jù)庫(kù) —— 于本周三正式到期。想當(dāng)年，這個(gè)已經(jīng)走過 25 年風(fēng)雨的 CVE 項(xiàng)目可是漏洞管理的中堅(jiān)力量。它負(fù)責(zé)監(jiān)督并組織獨(dú)一無二的 CVE ID 編號(hào)分配（例如 CVE-2014-0160 和 CVE-2017-5754），對(duì)應(yīng)的就是 OpenSSL 的 Heartbleed 和英特爾的 Meltdown。這么做的好處，就是在談到修復(fù)補(bǔ)丁、交流漏洞信息時(shí)，每個(gè)人都能對(duì)著同一個(gè)點(diǎn)兒說話，而不是公說公有理、婆說婆有理。

CVE 項(xiàng)目是絕大多數(shù)企業(yè)、開發(fā)者、研究人員、公共部門等等的核心漏洞標(biāo)識(shí)系統(tǒng)，所有人都用它來發(fā)現(xiàn)并修補(bǔ)漏洞。要是不同人撞上了同一個(gè)洞，CVE 就能幫忙確認(rèn)大家其實(shí)是在聊同一件事，這在混亂的安全圈里可寶貴得很。

“CVE 是網(wǎng)絡(luò)安全的基石，一旦出現(xiàn)任何支持缺口，我們的關(guān)鍵基礎(chǔ)設(shè)施和國(guó)家安全都會(huì)面臨無法接受的風(fēng)險(xiǎn)。”

雖然說全世界的漏洞管理并不會(huì)在一夜之間就陷入混亂，但真給它一兩個(gè)月的時(shí)間拖下去，也許就會(huì)出事兒。美國(guó)政府的撥款突然沒了，除非有別的主兒接著續(xù)命，否則這個(gè)標(biāo)準(zhǔn)化漏洞命名和跟蹤體系恐怕難以為繼，新漏洞的 CVE ID 很可能不再發(fā)布，CVE 官網(wǎng) 也有可能下線。

眼下，不以營(yíng)利為目的的 MITRE 機(jī)構(gòu)（它和美國(guó)國(guó)土安全部有合約）在運(yùn)營(yíng) CVE 項(xiàng)目?？芍芏@個(gè)機(jī)構(gòu)就證實(shí)，這份合約沒續(xù)簽。事情的來龍去脈要從特朗普政府到處削減政府開支開始說起。

“周三（4 月 16 日）之后，美國(guó)政府給予 MITRE 用于開發(fā)、運(yùn)營(yíng)和改進(jìn) CVE 項(xiàng)目和相關(guān)項(xiàng)目（包括 Common Weakness Enumeration Program，簡(jiǎn)稱 CWE）的資金就將到期，”MITRE 負(fù)責(zé)國(guó)土安全中心的副總裁兼主任 Yosry Barsoum 在接受 The Register 采訪時(shí)表示。

“政府還在努力支持 MITRE 的項(xiàng)目角色，MITRE 方面也將繼續(xù)為全球資源般重要的 CVE 項(xiàng)目效力，”Barsoum 進(jìn)一步補(bǔ)充道。

提到的 Common Weakness Enumeration Program（通用弱點(diǎn)枚舉）其實(shí)是一個(gè)中心化管理的漏洞類型數(shù)據(jù)庫(kù)。

這個(gè)政府“撤資”消息最初是在 MITRE 給 CVE 董事會(huì)成員的一封信中被泄露出來的，Barsoum 在那份備忘錄中坦言：

“如果屆時(shí)真的斷了款，CVE 會(huì)受到多方面的沖擊，可能會(huì)對(duì)國(guó)家漏洞數(shù)據(jù)庫(kù)及各類安全公告、工具廠商、事件響應(yīng)行動(dòng)，以及形形色色的重要基礎(chǔ)設(shè)施產(chǎn)生負(fù)面影響?！?/blockquote>

好在歷史上已經(jīng)發(fā)布過的 CVE 記錄至少還會(huì)留在 GitHub 上。

“CVE 是網(wǎng)絡(luò)安全的基石，一旦出現(xiàn)任何支持缺口，我們的關(guān)鍵基礎(chǔ)設(shè)施和國(guó)家安全都會(huì)面臨無法接受的風(fēng)險(xiǎn)，”Luta Security 創(chuàng)始人兼 CEO Katie Moussouris 在接受 The Register 采訪時(shí)警告道。她當(dāng)年可是微軟漏洞披露項(xiàng)目的開創(chuàng)者。

“全世界的各行各業(yè)都在靠 CVE 系統(tǒng)艱難地應(yīng)對(duì)威脅，突然一刀切，把行業(yè)的‘氧氣’斷了，就指望安全界集體進(jìn)化出‘魚鰓’？想想就知道那會(huì)有多尷尬?！盡oussouris 調(diào)侃道。

基本流程是這樣的：當(dāng)一位研究員或某個(gè)組織發(fā)現(xiàn)了某個(gè)產(chǎn)品的新漏洞，他們會(huì)聯(lián)系 CVE 項(xiàng)目的合作伙伴（目前全球有數(shù)百家，遍布 40 多個(gè)國(guó)家），由這些伙伴負(fù)責(zé)評(píng)估漏洞報(bào)告并分配唯一的 CVE 編號(hào)。如果確認(rèn)這個(gè)漏洞確有其事，就能讓大家對(duì)號(hào)入座，避免重復(fù)造輪子。

CVE 項(xiàng)目一直由美國(guó)國(guó)土安全部旗下的網(wǎng)絡(luò)安全與基礎(chǔ)設(shè)施安全局（CISA）贊助和大部分出資。

“我只能說，我在這個(gè)行業(yè)干得比 CVE 出世還早些，失去這個(gè)體系之后的后果肯定不好，”Trend Micro（趨勢(shì)科技）零日漏洞行動(dòng)（Zero Day Initiative）威脅情報(bào)負(fù)責(zé)人 Dustin Childs 接受 The Register 采訪時(shí)直言不諱。

“我在這個(gè)行業(yè)的時(shí)間都比 CVE 自己還長(zhǎng)，如果沒了它，后果肯定好不到哪去。”

“在 CVE 出現(xiàn)之前，每家廠商都用自己的命名方式描述漏洞。結(jié)果用戶摸不清自己到底有沒有受影響，也不知道有沒有打上正確的補(bǔ)丁。何況那還是漏洞和廠商都少得多的時(shí)代呢?！盋hilds 解釋道。

做個(gè)對(duì)比就知道：去年一年就發(fā)布了超過四萬條新 CVE。

“要是 MITRE 被停掉了 CVE 這筆經(jīng)費(fèi)，我們又會(huì)回到從前那些混亂的日子，直到有其他機(jī)構(gòu)來扛起這面大旗，可要建立那樣的行業(yè)聯(lián)盟可不是三兩天的事兒，”Childs 說?！奥┒垂芾韺⒆兊靡粓F(tuán)糟，很多企業(yè)要搞清自己有沒有遵守各項(xiàng)法規(guī)、指令，恐怕要抓瞎。我們只能祈禱這事兒能盡快解決?！?/p>

• MITRE 重磅推出新 CVE 系統(tǒng)，起因竟是 The Register 的曝光
• 工程師怒懟 MITRE 積壓漏洞，給它起名“ROFL”邊造品牌邊抗議
• NIST 安全漏洞數(shù)據(jù)庫(kù)依然積壓 1.7 萬條沒處理的漏洞，場(chǎng)面不忍直視
• 國(guó)會(huì)網(wǎng)絡(luò)安全議員要求先答疑，才肯對(duì) CISA 預(yù)算開刀
• CISA 為削減經(jīng)費(fèi)做準(zhǔn)備，威脅情報(bào)共享將受沖擊

與此同時(shí)，一家私營(yíng)漏洞情報(bào)公司 VulnCheck，也是一家 CVE 命名權(quán)威機(jī)構(gòu)（CNA），周二宣布他們已經(jīng)預(yù)留了 2025 年的 1000 個(gè) CVE 名額。

不過這也只能維持一兩個(gè)月罷了。

“安全業(yè)界必須挺身而出，填補(bǔ)這場(chǎng)真空?！?/blockquote>

“MITRE 作為 CNA，每個(gè)月會(huì)分配 300 ～ 600 條左右的 CVE，我們這次一次性鎖定 1000 個(gè)，也就意味著可以在核心服務(wù)還能跑的情況下再撐 12 個(gè)月，”VulnCheck 安全研究員 Patrick Garrity 在接受 The Register 采訪時(shí)說。

“CVE 項(xiàng)目是全球通用的關(guān)鍵資源，幾乎所有組織都依賴它來做漏洞管理。所以一旦停擺，就會(huì)對(duì)安全工具、安全團(tuán)隊(duì)，以及任何一個(gè)在意安全的組織造成連鎖影響。”他補(bǔ)充道。

“如果政府真不給 CVE 項(xiàng)目續(xù)命，那就是該安全行業(yè)自己站出來的時(shí)候了?！?