由于 DHS 未续签合同，CVE 项目面临迅速终结

关于

• 关于我们
• 广告
• 联系我们
• Foundry 职业
• 重印
• 新闻通讯

政策

• 服务条款
• 隐私政策
• Cookie 政策
• 会员偏好
• 关于 AdChoices
• 电子商务链接
• 您的加州隐私权

我们的网络

• CIO
• Computerworld
• InfoWorld
• Network World

更多

• 奖项
• 博客
• 品牌帖子
• 活动
• 播客
• 视频
• 企业买家指南

关闭

• 人工智能
• 生成式人工智能
• 业务运营
• 职业
• 行业
• IT 领导力
• 合规性
• 安全
• 应用安全
• 业务连续性
• 云安全
• 关键基础设施
• 网络犯罪
• 身份和访问管理
• IT 管理
• 网络安全
• 物理安全
• 隐私
• 风险管理
• 安全基础设施
• 漏洞
• 分析
• 软件开发
• 企业买家指南

返回 关闭

美洲

• 美国

亚洲

• 东盟
• 印度

欧洲

• Deutschland (德国)
• 英国

大洋洲

• 澳大利亚

返回 关闭 热门话题

• 搜索

• US-EN

• 主题

• 焦点：解决数据分析挑战

• 活动

• 新闻通讯

• 资源

• 社区

• 关于

• 政策

• 我们的网络

• 更多

返回

主题

• 人工智能
• 生成式人工智能
• 业务运营
• 职业
• 行业
• IT 领导力
• 合规性
• 安全
• 应用安全
• 业务连续性
• 云安全
• 关键基础设施
• 网络犯罪
• 身份和访问管理
• IT 管理
• 网络安全
• 物理安全
• 隐私
• 风险管理
• 安全基础设施
• 漏洞
• 分析
• 软件开发
• 企业买家指南

返回

CVE项目在 DHS 未续签合同后迅速结束，安全漏洞跟踪陷入困境

新闻分析 作者：Cynthia Brumfield 撰稿人 2025 年 4 月 15 日 · 6 分钟 政府 · 威胁与漏洞管理

MITRE 运营了 25 年的 Common Vulnerabilities and Exposures (CVE) 项目将于 4 月 16 日结束，原因是 DHS 未续签其资助合同，原因不明。专家表示，结束该项目是一场悲剧，该项目是大多数网络安全防御计划的核心。

图片来源：Jerome460 / Shutterstock 在一个令人震惊的事件中，网络安全防御的基石被摧毁，非营利研发组织 MITRE 表示，其与国土安全部 (DHS) 维护 Common Vulnerabilities and Exposures (CVE) 数据库（组织计算机漏洞）的合同将于 4 月 16 日午夜到期。

MITRE 的负责国土安全中心副总裁兼主任 Yosry Barsoum 在致 CVE 委员会的一封信中写道：“在 2025 年 4 月 16 日星期三，MITRE 开发、运营和现代化 Common Vulnerabilities and Exposures (CVE®) 项目和相关项目（如 Common Weakness Enumeration (CWE™) 项目）的资金将到期。政府继续做出相当大的努力来支持 MITRE 在该项目中的作用，MITRE 仍然致力于将 CVE 作为全球资源。”

CVE 项目的结束被视为“悲剧”

兰德公司高级政策研究员 Sasha Romanosky 将 CVE 项目的结束称为“悲剧”，许多网络安全和 CVE 专家对此表示赞同。

“CVE 对软件包和版本进行命名和分配，这是软件漏洞生态系统的基础，”Romanosky 说。“没有它，我们就无法跟踪新发现的漏洞。我们无法评估它们的严重程度或预测它们的利用。而且我们当然无法做出有关修补它们的最佳决策。”

Bitsight 的首席研究科学家 Ben Edwards 告诉 CSO，“我的反应是悲伤和失望。这是一项有价值的资源，绝对应该获得资助，不续签合同是一个错误。”

他补充说：“我希望任何中断都是短暂的，如果未能续签合同，生态系统中的其他利益相关者可以接替 MITRE 的工作。系统的联邦框架和开放性使这成为可能，但如果运营确实需要转移到另一个实体，那将是一条崎岖的道路。”

MITRE 的 CVE 项目是网络安全的基础

MITRE 的 CVE 项目 是全球网络安全生态系统的基础支柱，是识别漏洞和指导防御者漏洞管理计划的事实标准。它为供应商产品提供基础数据，涵盖漏洞管理、网络威胁情报、安全信息、事件管理以及端点检测和响应。

虽然国家标准与技术研究院 (NIST) 通过其 国家漏洞数据库 (NVD) 使用附加信息丰富了 MITRE CVE 记录，并且 CISA 通过其“漏洞丰富”计划帮助丰富了 MITRE 的 CVE 记录 [由于 NVD 项目的资金短缺]，但 MITRE 是 CVE 记录 的发起者，并且是识别安全漏洞的主要来源。

漏洞历史学家、Security Errata 项目的 CSO 和前 CVE 委员会成员 Brian Martin 在 LinkedIn 上写道：“如果 MITRE 的资金消失，它会立即产生连锁反应，影响全球范围内的漏洞管理。”

“首先，联合模型和 CVE 编号授权机构 (CNA) 无法再分配 ID 并将信息发送给 MITRE 以进行快速发布。其次，所有这些都是国家漏洞数据库 (NVD) 的基础，该数据库已经不堪重负，积压了 30,000 多个漏洞，并且最近宣布了超过 80,000 个‘延迟’（意味着不会按其当前标准进行全面分析）的漏洞。”

Martin 补充说：“第三，每个维护‘自己的漏洞数据库’的公司（本质上是 CVE 这头猪上的口红）都必须找到其他情报来源。第四，中国和俄罗斯等国家的国家漏洞数据库将在很大程度上枯竭（俄罗斯比中国更甚）。第四 [原文如此]，世界各地成百上千个国家/地区 CERT 不再拥有该免费漏洞情报来源。第五 [原文如此]，世界上每个依赖 CVE/NVD 获取漏洞情报的公司都将对其漏洞管理计划造成迅速而剧烈的痛苦。”

为什么合同会终止？

目前尚不清楚是什么导致 DHS 在资助 备受推崇 的项目 25 年后决定终止合同。特朗普政府主要通过 Elon Musk 的政府效率部，一直在全面削减政府开支，尤其是在网络安全和基础设施安全局 (CISA)（DHS 通过该机构资助 MITRE CVE 项目）的开支。

虽然 CISA 已经经历了两次资金削减，但新闻报道表明，该机构近 40% 的员工（约 1,300 名员工）仍然 将被解雇。但是，消息人士称，与联邦政府其他部门的预算削减相比，运行 CVE 项目的费用很小，“不会让银行破产”。

接下来会发生什么？

与 CVE 项目关系密切的消息人士称，从 4 月 16 日午夜开始，MITRE 将不再向其 CVE 数据库添加记录。但是，历史 CVE 记录将 在 GitHub 上提供。

真正的问题是 MITRE 项目的私营部门替代方案是否会出现。

威胁情报公司 Vulncheck 的安全研究员 Patrick Garrity 告诉 CSO，“很难推测哪些服务可能会受到 MITRE 说明的影响。在看到 NIST NVD 去年失败后，当前的漏洞生态系统很脆弱，对 CVE 项目的任何影响都可能对防御者和安全社区产生不利影响。VulnCheck 仍然致力于帮助填补可能出现的任何空白。”

Garrity 在 LinkedIn 上发布，“鉴于目前围绕 MITRE 或 CVE 项目中哪些服务可能受到影响的不确定性，VulnCheck 已主动为 2025 年保留了 1,000 个 CVE，”并补充说 Vulncheck “将在未来几天和几周内继续向社区提供 CVE 分配。”

CISA 发言人告诉 CSO，“CISA 是 Common Vulnerabilities and Exposure (CVE) 项目的主要赞助商，政府和行业都使用该项目来披露、编目和共享有关可能使国家关键基础设施面临风险的技术漏洞的信息。尽管 CISA 与 MITRE 公司的合同将在 4 月 16 日之后失效，但我们正在紧急努力以减轻影响并维护全球利益相关者所依赖的 CVE 服务。”