CVE項目危機凸顯行業依賴

近期關于通用漏洞披露（CVE，Common Vulnerabilities and Exposures）項目可能終止的短暫恐慌，凸顯了安全行業對其的高度依賴，并引發了關于標準化漏洞識別與分類系統不可用時的應急策略討論。

這場風波源于MITRE負責人致CVE董事會成員的信件，通知其運營合同將于4月16日到期。信中警告稱，若服務中斷將導致"包括國家漏洞數據庫和公告在內的多重影響"。美國網絡安全和基礎設施安全局（CISA，Cybersecurity and Infrastructure Security Agency）次日宣布通過11個月合同延期繼續資助CVE項目，暫時平息了廣泛擔憂。但關于CVE項目運營的長期穩定性，以及未來贊助或管理變更是否再次危及這一全球網絡安全關鍵基礎設施的憂慮依然存在。

CVE系統的局限性日益顯現

CVE項目的波動性并非促使組織尋求其他漏洞信息來源的唯一因素。美國國家標準與技術研究院（NIST，National Institute of Standards and Technology）因資源限制，一年多來難以為CVE記錄補充通用漏洞評分系統（CVSS，Common Vulnerability Scoring System）分數、通用弱點枚舉（CWE，Common Weakness Enumeration）分類和通用平臺枚舉（CPE，Common Platform Enumeration）產品標識等關鍵信息，導致大量漏洞缺乏必要的關聯信息和上下文，難以支持自動化安全任務的搜索、量化和利用。

Flashpoint聯合創始人兼CEO Josh Lefkowitz表示，部分前瞻性組織已開始通過"去CVE化"來應對后CVE時代。他們采用不依賴CVE標識的流程和工具來識別關鍵威脅，判斷可利用性，確定修復優先級，并分析攻擊者的利用方式。Lefkowitz指出："CVE系統已無法適應當今威脅環境的復雜性和變化速度。漏洞被發現和利用的間隔越來越短，影響范圍擴大到整個供應鏈，往往在獲得CVE編號前就已遭利用。"

最新數據顯示發現與披露的差距正在擴大：谷歌威脅情報小組（GTIG，Google's Threat Intelligence Group）統計2024年攻擊者利用的零日漏洞（zero-day）達75個，其中多數在補丁或CVE編號發布前就已遭利用。

構建多元化漏洞管理體系

Lefkowitz強調，這些趨勢要求企業必須降低對CVE的單一依賴，確保安全工具能處理帶或不帶CVE標識的漏洞。"組織在構建彈性安全體系時，整合替代性和互補性漏洞情報源至關重要。"

Legit Security現場首席技術官Joe Nicastro指出，CVE系統支撐著整個軟件生態的漏洞檢測與響應機制，包括政府機構使用的工具和平臺。"失去這個通用語言，我們將陷入識別混亂、響應遲緩的困境，而軟件攻擊正變得前所未有的猖獗。"

目前，歐盟網絡安全局（ENISA，European Union Agency for Cybersecurity）推出的歐洲漏洞數據庫（EUVD，European Vulnerability Database）是最正式的CVE替代方案。EUVD旨在為歐盟境內使用的軟硬件產品提供及時、權威的漏洞信息，聚合開源數據庫、各國網絡安全事件響應團隊公告和廠商警報等多方數據，并按關鍵漏洞、已利用漏洞和歐盟協調漏洞三類展示。雖然EUVD被定位為CVE的補充而非替代品，但要達到CVE的全球影響力和生態支持，仍需更多廠商參與和工具集成。

現有替代方案與實施挑戰

Black Duck軟件供應鏈風險負責人Tim Mackey表示："要使EUVD等新數據庫真正發揮作用，必須將其深度集成到掃描器、補丁管理系統和安全信息與事件管理（SIEM，Security Information and Event Management）平臺等工具中。"可行的替代方案需要數據庫提供商與工具廠商的深度協作，并獲得監管機構和審計方的認可。

Flashpoint、VulnCheck、Tenable、BitSight等第三方漏洞情報提供商提供CVE往往遺漏或延遲收錄的漏洞數據集，以及可利用性、勒索軟件風險等關鍵上下文。Lefkowitz建議，組織應重構漏洞處理流程，確保安全工具能處理廠商特定標識，并基于威脅情報（如漏洞利用代碼可用性、資產暴露程度）進行風險排序。

其他可選來源包括廠商安全公告、GitHub披露平臺，以及HackerOne、Bugcrowd等漏洞賞金平臺。Oracle、微軟、紅帽等軟件廠商定期發布安全公告，GitHub維護著GitHub Advisory Database漏洞庫，澳大利亞AusCERT、歐盟VulDB、日本JPCERT/CC和中國國家信息安全漏洞庫（CNNVD）等區域數據庫也值得關注。

CISA的已知已利用漏洞（KEV，Known Exploited Vulnerabilities）目錄是美國聯邦機構必須采用的漏洞數據源，任何組織都可借此確定補丁優先級。該目錄列出了對政府和關鍵基礎設施構成直接威脅的漏洞，聯邦機構必須在規定時限內修復或停用受影響系統。

替代方案面臨的系統性挑戰

Optiv網絡運營高級總監Ben Radcliff警告稱，CVE項目的核心價值在于為漏洞風險評估提供通用分類法和命名規范。若失去這一體系，研究人員將失去統一的漏洞分類語言，導致安全團隊響應速度下降，特別是面對零日漏洞時。"建立CVE替代方案的最大障礙在于重建全球安全社區的共識。CVE經過長期發展建立了權威性，任何替代方案在可預見的未來都可能保持分散和不一致的狀態。"