美国国土安全部终止资助，CVE漏洞数据库项目面临停摆危机

（图片来源：Jerome460 / Shutterstock）

25年漏洞追踪体系即将终结

美国非营利研发组织MITRE宣布，其与美国国土安全部（DHS）签订的"通用漏洞披露（CVE）"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱，因DHS未说明具体原因拒绝续约而面临终止。

MITRE国土安全中心主任Yosry Barsoum在致CVE委员会的信函中证实："2025年4月16日（周三），MITRE用于开发、运营和现代化CVE®项目及相关计划（如通用缺陷枚举CWE™项目）的资金将终止。政府仍在大力支持MITRE在项目中的角色，MITRE也始终将CVE视为全球公共资源。"

业界痛斥"悲剧性决定"

兰德公司高级政策研究员Sasha Romanosky将CVE项目的终结称为"悲剧"，这一观点得到众多网络安全专家的认同。他表示："CVE编号及软件版本漏洞分配是整个漏洞生态系统的基石。失去它，我们将无法追踪新发现漏洞、评估严重性、预测利用风险，更无法做出最佳修复决策。"

Bitsight首席科学家Ben Edwards表示："这令人深感遗憾。CVE是绝对值得持续资助的宝贵资源，不续约是个错误决策。"他补充道："希望中断只是暂时的。若合同最终未能续签，生态系统中其他利益相关方或许能接手MITRE的工作。得益于该系统的联邦架构和开放性，这种过渡存在可能，但转移运营主体必将充满挑战。"

全球网络安全基石崩塌

MITRE的CVE项目是全球网络安全生态的基础支柱，已成为识别漏洞和指导防御者实施漏洞管理的事实标准。它为供应商产品提供核心数据支撑，涉及漏洞管理、网络威胁情报、安全信息与事件管理（SIEM）、