CISA紧急续约MITRE,确保网络安全数据库CVE持续运作

最新推荐文章于 2025-07-08 16:07:06 发布
最新推荐文章于 2025-07-08 16:07:06 发布
阅读量487 收藏 6
点赞数 5
CC 4.0 BY-SA版权
文章标签: web安全 安全 网络安全 IT资讯
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/kiwi_tech_lab/article/details/147304039

美国网络安全和基础设施安全局(CISA)于2025年4月16日宣布,已签署与MITRE的合同延期协议,确保“通用漏洞与披露数据库”(CVE)服务不中断。

此前,MITRE公司曾在4月15日警告称,其与美国国土安全部(DHS)的合同即将在4月16日到期,若无法续签,将导致运行25年的CVE计划面临“断崖式”终止。该计划自1999年启动以来,已成为全球范围内追踪和披露软件与硬件漏洞的核心机制,被微软“补丁星期二”等众多安全更新和漏洞管理体系广泛引用。

CISA在声明中表示:“CVE计划对整个网络安全社区至关重要,我们已执行了合同中预设的延期选项,保障关键服务不断档。”据悉,此次续约时限为11个月。

尽管暂时避免了中断,但业内对于长期依赖政府资金的体制仍感担忧。就在CISA宣布续约之前,一批CVE董事会成员宣布成立“CVE基金会”这一独立非营利组织,旨在从MITRE手中接过CVE计划的运营职责,摆脱对单一政府资助的依赖,提升项目的中立性和可持续性。

MITRE副总裁Yosry Barsoum指出,若服务出现中断,国家漏洞数据库(NVD)、自动化防护工具、漏洞响应机制乃至关键基础设施都将受到连锁影响。不过MITRE表示历史CVE记录将继续通过GitHub开放访问。

Rand公司高级政策研究员Sasha Romanosky称CVE计划若终止将是“一场悲剧”。他指出,没有统一命名和编号系统,漏洞的发现、评级、修复决策都将陷入混乱。

有分析认为,MITRE当前遭遇的危机,与美国政府近期大幅削减网络安全预算有关,特别是特朗普政府下设的“政府效率部”(DOGE)推动的广泛财政压缩政策,令CISA成为重灾区。CVE的未来仍充满不确定性。

参考:

  • https://www.thecvefoundation.org/

  • https://www.theregister.com/2025/04/16/homeland_security_funding_for_cve

  • https://www.csoonline.com/article/3963190/cve-program-faces-swift-end-after-dhs-fails-to-renew-contract-leaving-security-flaw-tracking-in-limbo.html

  • https://www.bleepingcomputer.com/news/security/cisa-extends-funding-to-ensure-no-lapse-in-critical-cve-services/

CISA关键措施要求解析:提升组织网络安全的实用指南
TechEnthusiast的博客
04-10 288
实施多因素身份认证使用强密码禁用未使用的端口和协议执行软件更新限制管理权限实施网络分段执行持续漏洞管理实施日志记录和监控制定事件响应计划执行数据备份和恢复让我们逐一深入探讨这些措施的实施细节。
一文读懂通用漏洞评分系统CVSS4.0:顺带理清CVE、CWE及其与CVSS之间的关系
所有成功的背后,都是痛苦的坚持,所有的痛苦,都是傻瓜般的不放弃!
05-14 6146
在计算机科学中,漏洞是削弱系统整体安全性的缺陷或故障。漏洞可能是硬件本身或在其上运行的软件的弱点。CVE全称是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司维护和更新的安全漏洞列表,列表中的每个条目都会有一个唯一的CVE编号,即CVE ID,供安全研究员和受攻击的软件供应商使用,以便确定和回应安全漏洞。CVE条目包含了与CVE ID相关的漏洞的描述性数据(即简要描述和至少一个参考)。
美国国土安全部终止资助,CVE漏洞数据库项目面临停摆危机
FreeBuf_的博客
04-16 1122
美国非营利研发组织MITRE宣布,其与美国国土安全部(DHS)签订的"通用漏洞披露(CVE)"数据库维护合同将于2025年4月16日午夜到期。
CVE项目要停?是全球网络安全的“信任动荡!!!
啊不行了,要长脑子了
04-22 3085
2025年4月,一则来自MITRE的内部警告,在全球网络安全圈激起了不小的波澜。那封信里写得明明白白:作为CVE项目的承办机构,他们即将失去来自美国政府的资助。换句话说,这个贯穿全球安全生态、支撑着数十万漏洞编号的系统——CVE项目,可能真的要“断供”了。一时间,从硅谷的安全工程师,到欧洲的漏洞响应团队,再到国内的红蓝对抗专家,纷纷盯紧这个看似“基础设施”的变动。对多数人来说,CVE更像是空气:一直在,但没人意识到它的重要性,直到它可能要消失。
如果没了CVE,我们还有哪些漏洞库可以选择
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
04-18 506
美国非营利研发组织 MITRE 在 2025 年 4 月宣布,其与美国国土安全部(DHS)签订的 CVE 数据库维护合同于 4 月 16 日午夜到期,DHS 拒绝续约。运行长达 25 年的 CVE 项目,面临着随时可能终止的危机。虽然美国网络安全与基础设施安全局(CISA)表示正在紧急采取措施减轻影响,维护 CVE 服务,但 CVE 未来的不确定性仍让业界忧心忡忡。CVE 作为全球网络安全漏洞信息共享的重要平台,长期以来为安全行业提供了标准化的漏洞标识和信息描述。
CISA网络安全事件和漏洞响应手册.pdf
11-17
CISA网络安全事件和漏洞响应手册》是美国网络安全与基础设施安全局(Cybersecurity and Infrastructure Security Agency,简称CISA)发布的一份重要指南,旨在帮助联邦政府机构更好地管理和应对网络安全事件及漏洞...
美国CISA网络安全术语词汇
11-06
美国CISA发布的网络安全术语词汇,是一份旨在统一网络安全领域专业术语的标准词汇表,涵盖了多个与网络安全相关的基本概念和术语。本词汇表对网络安全专业人士和相关领域工作者来说,是理解及应用网络安全知识的重要...
60万路由器一夜瘫痪,美国遭遇神秘网络攻击大灾难;木马肆虐俄罗斯,关键信息基础设施惨遭毒手!Oracle漏洞被利用,CISA紧急行动!| 安全周报0606
weixin_55163056的博客
06-06 706
Recorded Future的Insikt Group表示:“从2023年4月到12月,BlueDelta在三个不同的阶段部署了HeadLace恶意软件,使用地理围栏技术针对整个欧洲的网络,重点是乌克兰。这个黑客团队以高度的隐蔽性和复杂性运作,经常通过深度准备和定制工具展示他们的适应性,并依赖合法的互联网服务(LIS)和本地二进制文件(LOLBins)来隐藏其在常规网络流量中的操作。“该事件发生在10月25日至27日的72小时内,使感染的设备永久性无法操作,并需要硬件更换,”公司在技术报告中表示。
网安系列【4】之OWASP与OWASP Top 10:Web安全入门指南
缘友一世的博客
07-04 773
了解OWASP及其Top 10清单,可以帮助开发者和企业避免类似的灾难性后果。
黑客攻防演练之:红队攻击の常见战术及案例
luomoyoushang的博客
07-08 370
供应商信息包括相关合同、系统、软件、硬件、代码、服务、人员等相关信息。小Y将团队兵分两路,除自己外的所有其他成员主攻营销网站,准备了许多分属不同A段的跳板,不在乎是否被发现,也不在乎是否封堵,甚至连漏洞扫描器都上了,力求对流量威胁分析系统开启一场规模浩大的“分布式拒绝服务”,让蓝队的防守人员忙于分析和应对;因此信息收集和情报刺探是红队工作的基础,在数据积累的基础上,针对性地根据特定系统、特定平台、特定应用、特定版本,去寻找与之对应的漏洞,编写可以绕过防护设备的EXP来实施攻击操作,可以达到一击即中的目的。
网络安全】恶意 Python 包“psslib”仿冒 passlib,可导致 Windows 系统关闭
par@ish的博客
07-08 550
安全团队发现恶意Python包"psslib"仿冒知名密码库passlib,通过拼写相似性诱骗开发者。该包包含恶意代码,会在密码输入错误时立即关闭Windows系统(shutdown /s /t 1),导致数据丢失和系统中断。其还内置两个无条件关机函数,即使有限使用也会造成破坏。建议开发者检查镜像服务器是否存在该恶意包,可通过"sudo bandersnatch delete psslib"命令删除。该攻击主要针对Windows开发环境,Linux和macOS不受影响
web安全】SQLMap 参数深度解析:--risk 与 --level 详解
最新发布
KP_X的博客
07-08 1121
SQLMap 作为最强大的 SQL 注入自动化工具,其--risk和--level参数是控制测试深度和广度的关键选项。下面我将从原理到实践全面解析这两个参数。作用:控制可能影响数据库稳定性的测试技术取值范围:1-3(默认为1)本质:决定使用哪些可能"危险"的Payload类型作用:控制测试的全面性和Payload数量取值范围:1-5(默认为1)本质:决定测试哪些参数和Payload复杂度。
Fortinet Security Fabric 解决方案:构建智能化、一体化的网络安全防御体系
swqd123456的博客
07-05 694
工业与物联网安全(OT/IIoT):针对智能制造、能源等场景,Fortinet OT 安全解决方案(如 FortiGate OT 系列)支持工业协议(OPC UA、Modbus)深度解析,区分正常工业流量与恶意操作,避免勒索软件对生产线的瘫痪(例如某汽车工厂通过 OT 安全组件拦截针对 PLC 控制器的攻击)。SD-WAN 与安全的深度融合,在优化广域网流量的同时,对分支到总部、分支到云的流量进行加密与威胁检测,例如零售企业可通过 SD-WAN 安全隧道保障门店 POS 系统数据传输安全
WPA2 与 WPA3:深入解析Wi-Fi安全协议
Qogrisys无线连接方案商
07-08 610
因此,当消费者选购支持Wi-Fi 7的先进设备时,他们不仅能体验到高达5.8Gbps的理论速度 和多链路操作(MLO)等尖端功能 ,也必然获得了WPA3带来的顶级安全保障。有线等效保密(WEP),1997年 作为全球首个Wi-Fi安全协议,WEP提供了基础级别的安全保障,但其静态加密密钥的机制存在重大漏洞,极易受到暴力破解,很快便被时代淘汰。WiFi保护访问3(WPA3),2018年 WPA3带来了多项关键的安全改进,不仅显著增加了攻击难度,也为日益普及的智能家居和物联网设备提供了更强的保护。
Sophos 网络安全:全球领先的自适应安全解决方案提供商
swqd123456的博客
07-03 850
SophosLabs 作为其核心安全研究中枢,由 600 余名安全专家组成,24 小时实时监控全球威胁情报网络,日均分析超 1 亿条安全事件,每年发布《全球威胁报告》,为行业提供前瞻性的攻击趋势预判。例如,在 2024 年报告中,其首次提出 “AI 驱动勒索软件产业化” 趋势,并提前布局防御技术,被 Gartner 评为 “端点安全魔力象限领导者” 连续 12 年,且在 2025 年成为唯一包揽端点防护、网络防火墙、移动威胁防护和 MDR 四大领域 “Gartner 客户之选” 的厂商。
网络安全】服务间身份认证与授权模式
等风来
07-08 156
当代后端软件架构由多种应用与服务组成,其整体结构复杂多变。为满足业务需求,应用或服务之间需要频繁地进行通信。如何保障这些通信的安全性,并识别通信双方的身份及其访问权限,并非易事。近年来,多家知名机构频繁发生网络安全事件,这给架构师、系统设计者与软件工程师带来了更大的压力,促使他们在设计阶段投入更多精力,力求从一开始就解决安全问题,并在各层系统中引入安全控制机制,落实“纵深防御”理念。由于系统中存在多种类型的应用与资源,使得问题的复杂度进一步上升。
国产飞腾主板,赋能网络安全防御硬手段
gnhpc的博客
07-08 195
当前,网络安全形势严峻,网络攻击手段不断翻新,从数据泄露到电脑中毒,企业、机构乃至国家的数字资产都面临着巨大风险。在此背景下,国产硬件技术的突破对筑牢网络安全防线意义重大。
网络安全护网实战:攻击手段解析与防御策略
qq_28776313的博客
07-08 686
文件包含漏洞|动态调用文件时未过滤路径,关键函数:include/require、include_once/require_once|读取/etc/passwd、查看PHP配置文件、目录遍历攻击对比|禁用危险函数、路径白名单、关闭allow_url_include|★★★☆||命令执行漏洞|系统命令被恶意执行,过滤绕过技巧:&&和&区别、管道符|利用DVWA三级难度测试、SAP Netweaver漏洞、Struts2框架漏洞|禁用危险函数、输入过滤、框架补丁更新|★★★★|
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值