CVE慘遭斷奶，美帝自毀安全長城

沒錯，就是那個報漏洞的 CVE 項目，美國政府竟然掐斷了它的資金。這不是自毀長城是什么？中國的CNCVE估計能笑暈在廁所了。

最近安全圈子又起了一場驚天波瀾：報漏洞的 CVE 組織被美國政府斷奶了。

CVE（Common Vulnerabilities and Exposures），也就是通用漏洞披露標準，簡單說就是給每個漏洞發(fā)放全球統(tǒng)一的“身份證號”，讓廠商、研究員和用戶交流時都能精準對號入座。MITRE 則一直扮演著CVE的“管理員”，給全球每年四萬多個漏洞地分配編號。

發(fā)生了什么？

據 Tib3rius爆料，MITRE 對 CVE 項目的支持將于明天到期，而且他們已經給 CVE 董事會成員發(fā)過警示信。

隨后，圈內知名組織 vx-underground 緊急備份了MITRE的CVE數據庫，并公開在 https://vx-underground.org/Archive/CVE ，表示萬一CVE數據庫哪天神奇消失了，至少還有備份。

為啥要砍CVE？

英國科技媒體 The Register 進行了跟進報道（具體翻譯內容見后）與進一步挖掘，事情的根源要追溯到特朗普政府上臺后的財政政策。他們?yōu)橄鳒p預算四處尋找節(jié)流之處，似乎覺得漏洞管理這種“虛無縹緲”的東西也能省下不少錢。

根據美國政府公開數據庫 USASpending.gov，MITRE 自 2008 年以來累計從美國政府獲得了約15億美元的資金。每年上千萬美元投入，換來的是全球安全行業(yè)的井然有序，現在要為了節(jié)省區(qū)區(qū)幾千萬美元的年度預算就徹底掐斷CVE？美國政府這算盤打得可真夠神奇的。

這場預算削減帶來的結果相當明顯：MITRE可能在短時間內無法繼續(xù)為新漏洞分配CVE編號，全球漏洞信息系統(tǒng)將陷入混亂狀態(tài)。Trend Micro的漏洞情報負責人Dustin Childs接受The Register采訪時直言不諱：“沒有CVE，我們又將回到各家自說自話的原始年代，那將是一場真正的災難?！?/p>

圈內組織當然也沒閑著。安全公司 VulnCheck 已經提前為2025年預留了1000個CVE編號，以防止短期內出現徹底的混亂。但每月全球需要300到600個編號，1000個也就能撐上一兩個月。之后該怎么辦？VulnCheck的研究員Patrick Garrity表示：“如果政府真不給CVE續(xù)命，安全業(yè)界必須自發(fā)組建一個新聯盟，填補這個真空?！?/p>

CNCVE機會來了？

MITRE 所負責的 CVE 斷供，意味著全球統(tǒng)一的漏洞信息體系可能出現中斷；美國像是在自拆長城，以后“漏洞靶子”擺上桌，黑客可就一點兒都不會手軟了。有人說這是“懂王”上臺后做過最 “SB” 事之一，也是美國技術領導地位逐漸衰退的又一例證。

砍掉CVE看起來是省了點錢，但正如歷史上無數次財政短視一樣，節(jié)流之后的代價往往更為高昂。當年崇禎皇帝裁撤驛站人員，看似微不足道的小錢，結果卻間接催生了李自成。美國政府這回掐掉CVE的資金供應，等到漏洞帶來的大麻煩真的爆發(fā)，恐怕要花出去的錢就不是區(qū)區(qū)數千萬美元那么簡單了。

這件事對美國來說是災難，但對中國卻可能是個絕佳的機會。近年來，中國也在搭建屬于自己的漏洞披露平臺CNCVE，由CNCERT/CC國家計算機網絡應急處理協(xié)調中心牽頭。

之前曾經出現過阿里巴巴發(fā)現log4j漏洞后直接提交給CVE而沒有通報中國主管部門，結果遭到工信部批評與懲治。如今老美主動撤退，未來全球的安全研究者如果想穩(wěn)定、高效地披露漏洞，說不定就只能敲中國 CNCVE 大門了

The Register 報道原文翻譯如下：https://www.theregister.com/2025/04/16/homeland_security_funding_for_cve/

Uncle Sam 說停就停，CVE 項目經費慘遭斷奶 沒錯，就是那個 CVE 項目

因為管理漏洞跟國家安全一點兒關系都沒有，對吧？

Jessica Lyons　2025 年 4 月 16 日（周三）/ 00:00 UTC

美國政府對全球 CVE 項目的資金支持 —— 也就是那個集中管理各種產品安全漏洞的通用漏洞與披露（Common Vulnerabilities and Exposures）數據庫 —— 于本周三正式到期。想當年，這個已經走過 25 年風雨的 CVE 項目可是漏洞管理的中堅力量。它負責監(jiān)督并組織獨一無二的 CVE ID 編號分配（例如 CVE-2014-0160 和 CVE-2017-5754），對應的就是 OpenSSL 的 Heartbleed 和英特爾的 Meltdown。這么做的好處，就是在談到修復補丁、交流漏洞信息時，每個人都能對著同一個點兒說話，而不是公說公有理、婆說婆有理。

CVE 項目是絕大多數企業(yè)、開發(fā)者、研究人員、公共部門等等的核心漏洞標識系統(tǒng)，所有人都用它來發(fā)現并修補漏洞。要是不同人撞上了同一個洞，CVE 就能幫忙確認大家其實是在聊同一件事，這在混亂的安全圈里可寶貴得很。

“CVE 是網絡安全的基石，一旦出現任何支持缺口，我們的關鍵基礎設施和國家安全都會面臨無法接受的風險?！?/blockquote>

雖然說全世界的漏洞管理并不會在一夜之間就陷入混亂，但真給它一兩個月的時間拖下去，也許就會出事兒。美國政府的撥款突然沒了，除非有別的主兒接著續(xù)命，否則這個標準化漏洞命名和跟蹤體系恐怕難以為繼，新漏洞的 CVE ID 很可能不再發(fā)布，CVE 官網 也有可能下線。

眼下，不以營利為目的的 MITRE 機構（它和美國國土安全部有合約）在運營 CVE 項目?？芍芏@個機構就證實，這份合約沒續(xù)簽。事情的來龍去脈要從特朗普政府到處削減政府開支開始說起。

“周三（4 月 16 日）之后，美國政府給予 MITRE 用于開發(fā)、運營和改進 CVE 項目和相關項目（包括 Common Weakness Enumeration Program，簡稱 CWE）的資金就將到期，”MITRE 負責國土安全中心的副總裁兼主任 Yosry Barsoum 在接受 The Register 采訪時表示。

“政府還在努力支持 MITRE 的項目角色，MITRE 方面也將繼續(xù)為全球資源般重要的 CVE 項目效力，”Barsoum 進一步補充道。

提到的 Common Weakness Enumeration Program（通用弱點枚舉）其實是一個中心化管理的漏洞類型數據庫。

這個政府“撤資”消息最初是在 MITRE 給 CVE 董事會成員的一封信中被泄露出來的，Barsoum 在那份備忘錄中坦言：

“如果屆時真的斷了款，CVE 會受到多方面的沖擊，可能會對國家漏洞數據庫及各類安全公告、工具廠商、事件響應行動，以及形形色色的重要基礎設施產生負面影響。”

好在歷史上已經發(fā)布過的 CVE 記錄至少還會留在 GitHub 上。

“CVE 是網絡安全的基石，一旦出現任何支持缺口，我們的關鍵基礎設施和國家安全都會面臨無法接受的風險，”Luta Security 創(chuàng)始人兼 CEO Katie Moussouris 在接受 The Register 采訪時警告道。她當年可是微軟漏洞披露項目的開創(chuàng)者。

“全世界的各行各業(yè)都在靠 CVE 系統(tǒng)艱難地應對威脅，突然一刀切，把行業(yè)的‘氧氣’斷了，就指望安全界集體進化出‘魚鰓’？想想就知道那會有多尷尬?！盡oussouris 調侃道。

基本流程是這樣的：當一位研究員或某個組織發(fā)現了某個產品的新漏洞，他們會聯系 CVE 項目的合作伙伴（目前全球有數百家，遍布 40 多個國家），由這些伙伴負責評估漏洞報告并分配唯一的 CVE 編號。如果確認這個漏洞確有其事，就能讓大家對號入座，避免重復造輪子。

CVE 項目一直由美國國土安全部旗下的網絡安全與基礎設施安全局（CISA）贊助和大部分出資。

“我只能說，我在這個行業(yè)干得比 CVE 出世還早些，失去這個體系之后的后果肯定不好，”Trend Micro（趨勢科技）零日漏洞行動（Zero Day Initiative）威脅情報負責人 Dustin Childs 接受 The Register 采訪時直言不諱。

“我在這個行業(yè)的時間都比 CVE 自己還長，如果沒了它，后果肯定好不到哪去?！?/blockquote>

“在 CVE 出現之前，每家廠商都用自己的命名方式描述漏洞。結果用戶摸不清自己到底有沒有受影響，也不知道有沒有打上正確的補丁。何況那還是漏洞和廠商都少得多的時代呢?！盋hilds 解釋道。

做個對比就知道：去年一年就發(fā)布了超過四萬條新 CVE。

“要是 MITRE 被停掉了 CVE 這筆經費，我們又會回到從前那些混亂的日子，直到有其他機構來扛起這面大旗，可要建立那樣的行業(yè)聯盟可不是三兩天的事兒，”Childs 說?！奥┒垂芾韺⒆兊靡粓F糟，很多企業(yè)要搞清自己有沒有遵守各項法規(guī)、指令，恐怕要抓瞎。我們只能祈禱這事兒能盡快解決?！?/p>

• MITRE 重磅推出新 CVE 系統(tǒng)，起因竟是 The Register 的曝光
• 工程師怒懟 MITRE 積壓漏洞，給它起名“ROFL”邊造品牌邊抗議
• NIST 安全漏洞數據庫依然積壓 1.7 萬條沒處理的漏洞，場面不忍直視
• 國會網絡安全議員要求先答疑，才肯對 CISA 預算開刀
• CISA 為削減經費做準備，威脅情報共享將受沖擊

與此同時，一家私營漏洞情報公司 VulnCheck，也是一家 CVE 命名權威機構（CNA），周二宣布他們已經預留了 2025 年的 1000 個 CVE 名額。

不過這也只能維持一兩個月罷了。

“安全業(yè)界必須挺身而出，填補這場真空。”

“MITRE 作為 CNA，每個月會分配 300 ～ 600 條左右的 CVE，我們這次一次性鎖定 1000 個，也就意味著可以在核心服務還能跑的情況下再撐 12 個月，”VulnCheck 安全研究員 Patrick Garrity 在接受 The Register 采訪時說。

“CVE 項目是全球通用的關鍵資源，幾乎所有組織都依賴它來做漏洞管理。所以一旦停擺，就會對安全工具、安全團隊，以及任何一個在意安全的組織造成連鎖影響?！彼a充道。

“如果政府真不給 CVE 項目續(xù)命，那就是該安全行業(yè)自己站出來的時候了。”?