美國政府削減了CVE數據庫的資金,用於跟踪操作系統和軟件中的安全漏洞。這是一個更改,使Apple更難監視和修復軟件問題。
常見的漏洞和暴露(CVE)數據庫是現代網絡安全的重要組成部分。這是在操作系統和應用程序中發現的漏洞的中央數據庫,黑客和惡意軟件可以濫用以各種方式攻擊目標。
國防非營利MITER Corporation週二表示,維護CVE數據庫的資金將於週三到期。同時,共同的弱點(CWE)計劃也將失去資金。
網絡安全和基礎設施安全局(CISA)確認 路透社合同即將結束。美國國土安全部,CISA的父母組織為合同提供了資金。
CISA補充說,它正在努力減輕其影響,並儘可能維持CVE服務。它沒有說它是否將正式接管數據庫。
關於合同為什麼失效的原因也沒有解釋。但是,人們認為CVE可能已經陷入了埃隆·馬斯克(Elon Musk)領導的Doge Service的持續努力中,以削減成本。
關鍵系統的重大影響
CVE是安全生態系統的關鍵部分,並且Apple經常尋找問題。許多安全更新和有在CVE中,允許研究人員知道哪些問題已解決,以及哪些漏洞已停止。
作為開發人員和研究人員查看的中央數據庫,它可以最大程度地減少清單和工作的重複,因此研究人員可以更輕鬆地在問題上共同努力。這也已成為整個安全行業中引用漏洞的標準方式。
安全研究人員和該領域的其他成員立即以普遍的強烈抗議立即回應了資金的損失,這對總體而言,這是一件壞事。
前CISA酋長讓·伊斯特利(Jean Easterley)在LinkedInCVE數據庫的潛在關閉對業務風險和國家安全具有嚴重影響。將其比作杜威十進制系統的網絡安全系統,對研究人員而言將是深遠的。
“就像試圖在混亂的圖書館中找到一本書的圖書館員一樣,網絡安全專業人員將試圖捍衛您的系統,而不確切知道威脅是什麼或在哪裡找到它們。”
前機構負責人補充說,CVE的損失將意味著違反和勒索軟件的風險增加,安全成本更高以及消費者和監管機構的信任損失。
計算機脆弱性歷史學家布萊恩·馬丁(Brian Martin)表示,將會存在“直接級聯效應”,這將在全球範圍內損害脆弱性管理。馬丁補充說,計算機應急響應小組(CERT)將沒有脆弱性情報的主要來源,而公司將在其安全管理計劃中遇到“迅速而尖銳的痛苦”。
