Jessica Lyons Tue 13 May 2025 // 10:00 UTC

正当美国在预算削减、信息披露延迟以及自身跟踪系统未来不明朗的情况下挣扎时,欧洲漏洞数据库 (EUVD) 现已全面投入运营,提供了一个简化的平台来监控关键且被积极利用的安全漏洞。

截至周二,该网站的完整版本已经启动并运行。

ENISA 执行董事 Juhan Lepassaar 在宣布 EUVD 的声明中表示:“欧盟现在配备了一个重要工具,旨在大幅改进漏洞管理以及与之相关的风险。”

Lepassaar 继续说道:“该数据库确保了受影响的 ICT 产品和服务的所有用户的透明度,并将成为查找缓解措施的有效信息来源。”

欧盟网络安全局 (ENISA) 于 2024 年 6 月首次宣布了该项目,该项目由欧盟网络和信息安全 2 指令授权,并在美国 Common Vulnerabilities and Exposures (CVE) 计划面临不确定性期间,于上个月悄然推出了有限访问权限的 Beta 版本。

《Register》的读者——尤其是那些负责漏洞管理的人员——应该还记得,美国政府对 CVE 计划的资助原定于 4 月到期,直到美国网络安全和基础设施安全局 (CISA) 在最后一刻介入,并与 MITRE 续签了合同,以继续运营该计划。

更广泛地说,山姆大叔一直在努力削减 CISA 和其他网络安全资金,与此同时,负责美国政府安全设计计划的关键联邦雇员也纷纷离职

此外,CISA 在周一表示,它将不再在其公共网站上发布常规警报——包括那些详细说明被利用的漏洞的警报。相反,这些更新将通过电子邮件、RSS 订阅以及该机构在 X 上的帐户进行传递。

鉴于所有这些情况,网络安全专业人士如果怀疑美国政府致力于加强网络安全和消除漏洞,也是可以理解的。

EUVD 应运而生。EUVD 与美国政府的 National Vulnerability Database (NVD) 类似,它识别每个已披露的错误(具有 CVE 分配的 ID 和其自己的 EUVD 标识符), 注释漏洞的严重性和利用状态,并链接到可用的建议和补丁。

与仍在努力处理大量漏洞提交积压 且不易于导航的 NVD 不同,EUVD 几乎是实时更新的,并且在网站顶部突出显示关键和被利用的漏洞。

EUVD 提供了三个仪表板视图:一个用于关键漏洞,一个用于那些被积极利用的漏洞,另一个用于由 EU CSIRTs network 成员协调的漏洞。

信息来源包括开源数据库以及国家 CSIRT 发布的建议和警报、供应商发布的缓解和修补指南以及被利用的漏洞详细信息。

ENISA 也是一个 CVE Numbering Authority (CNA),这意味着它可以根据 CVE 计划分配 CVE 标识符并协调漏洞披露。 然而,即使作为一个活跃的 CNA,ENISA 似乎也不清楚美国政府资助的 CVE 计划的下一步发展,该计划与 MITRE 的合同仅到明年三月。

发布公告指出,“ENISA 正在与 MITRE 联系,以了解在宣布 Common Vulnerabilities and Exposures Program 的资助后的影响和后续步骤。” ®