美国政府削减了CVE数据库的资金,用于跟踪操作系统和软件中的安全漏洞。这是一个更改,使Apple更难监视和修复软件问题。
常见的漏洞和暴露(CVE)数据库是现代网络安全的重要组成部分。这是在操作系统和应用程序中发现的漏洞的中央数据库,黑客和恶意软件可以滥用以各种方式攻击目标。
国防非营利MITER Corporation周二表示,维护CVE数据库的资金将于周三到期。同时,共同的弱点(CWE)计划也将失去资金。
网络安全和基础设施安全局(CISA)确认 路透社合同即将结束。美国国土安全部,CISA的父母组织为合同提供了资金。
CISA补充说,它正在努力减轻其影响,并尽可能维持CVE服务。它没有说它是否将正式接管数据库。
关于合同为什么失效的原因也没有解释。但是,人们认为CVE可能已经陷入了埃隆·马斯克(Elon Musk)领导的Doge Service的持续努力中,以削减成本。
关键系统的重大影响
CVE是安全生态系统的关键部分,并且Apple经常寻找问题。许多安全更新和有在CVE中,允许研究人员知道哪些问题已解决,以及哪些漏洞已停止。
作为开发人员和研究人员查看的中央数据库,它可以最大程度地减少清单和工作的重复,因此研究人员可以更轻松地在问题上共同努力。这也已成为整个安全行业中引用漏洞的标准方式。
安全研究人员和该领域的其他成员立即以普遍的强烈抗议立即回应了资金的损失,这对总体而言,这是一件坏事。
前CISA酋长让·伊斯特利(Jean Easterley)在LinkedInCVE数据库的潜在关闭对业务风险和国家安全具有严重影响。将其比作杜威十进制系统的网络安全系统,对研究人员而言将是深远的。
“就像试图在混乱的图书馆中找到一本书的图书馆员一样,网络安全专业人员将试图捍卫您的系统,而不确切知道威胁是什么或在哪里找到它们。”
前机构负责人补充说,CVE的损失将意味着违反和勒索软件的风险增加,安全成本更高以及消费者和监管机构的信任损失。
计算机脆弱性历史学家布莱恩·马丁(Brian Martin)表示,将会存在“直接级联效应”,这将在全球范围内损害脆弱性管理。马丁补充说,计算机应急响应小组(CERT)将没有脆弱性情报的主要来源,而公司将在其安全管理计划中遇到“迅速而尖锐的痛苦”。
