此篇文章報導了美國非營利組織MITRE,負責管理兩個重要資安專案「常見漏洞披露(CVE)」和「通用缺陷列表(CWE)」的合約即將到期的消息,並探討這一事件可能帶來的影響。這些專案對於全球資安領域的漏洞管理與分類至關重要,但近期的美國行政預算縮減,特別是川普政府大幅削減預算,使得MITRE的運營面臨困境,甚至可能影響到資安漏洞的識別與回應。
CVE和CWE專案是由MITRE負責管理的重要資安基礎設施。CVE專案自1999年以來,已經累積了超過27.4萬個漏洞識別碼,並成為全球廣泛依賴的資安漏洞識別系統。CWE專案則負責將各類漏洞進行分類與編號,自2006年設立以來,已經建立了超過600個漏洞類別。然而,根據MITRE主任Yosry Barsoum的信件,這些專案的合約將在4月15日到期,這意味著若沒有延續的預算支持,CVE資料庫的管理與維護將面臨中斷,對全球的資安系統造成深遠影響。
作者指出,如果MITRE無法再持續提供CVE服務,將導致多方受到影響,從國家資料庫、工具供應商、事件回應操作,到許多關鍵基礎設施的運行,皆會因此受到威脅。資安專家Brian Martin警告,CVE編號授權單位將無法再分配ID或快速發布漏洞資料,這將直接影響美國國家漏洞資料庫(NVD)的運作。NVD是目前全球最重要的漏洞分析與管理資源,該資料庫已經積壓了超過3萬個漏洞。如果這一基礎設施中斷,全球所有依賴CVE與NVD分析漏洞的企業與機構,都將受到巨大的運營困難。
問題的根源來自於美國行政預算的縮減,特別是川普政府的政策,導致MITRE及相關政府機構的運營資金減少。CISA(美國網路安全暨基礎設施安全局)正在為此規劃人事刪減,預計會裁撤大約一半的全職員工和40%的承包商,這將直接波及1,300名員工。CSO Online報導指出,MITRE將於4月15日午夜後停止向CVE資料庫添加新漏洞紀錄,並計劃將此業務轉移到GitHub上。然而,這一變動將對全球資安界造成重大的影響,特別是對於依賴MITRE提供的漏洞資料和分類標準的公司與機構。
儘管面臨困境,CISA與MITRE表示他們正在努力減少合約到期所帶來的負面影響,並尋求方案以繼續維護CVE資料庫的正常運行。這些努力旨在減少因預算削減而造成的漏洞管理中斷,並確保全球資安生態系統的穩定性。未來,可能會有更多的依賴GitHub等替代平台來進行漏洞資料的管理和存儲,但這樣的轉型仍然需要時間來適應。
本文詳細報導了MITRE面臨的預算危機及其對CVE與CWE專案可能造成的影響,並分析了CVE資料庫中斷將對全球資安界產生的深遠後果。隨著美國政府大幅縮減行政預算,MITRE的合約到期使得漏洞管理和分類系統的未來充滿不確定性。未來,CISA與MITRE需要找到有效的解決方案來應對這一挑戰,確保資安漏洞管理的穩定運行,並防止可能的中斷對全球企業與機構造成的負面影響。
