美國漏洞資料庫計畫CVE、CWE本月一度傳出可能中斷,也引發業界對單一全球漏洞資料庫模式的疑慮,並且加速其他人或政府建立並行資料庫,作為替代或備援方案。
本月美國非營利組織MITRE傳出承攬的多項美國政府專案即將到期,包括其維護的「常見漏洞披露」(Common Vulnerabilities and Exposures,CVE)資料庫,以及「通用缺陷列表」(Common Weakness Enumeration,CWE)等資料庫。外界猜測是川普政府刪減行政預算之故。不過隔日美國主管機關CISA就證實將延長專案至少11個月,使得對資安人員的重要資源暫時解除斷炊危機。
上周MITRE計畫告急消息傳來時,包含MITRE、CISA、NIST、Cisco、微軟、Broadcom等CVE董事會(CVE Board)會員宣布成立CVE基金會(CVE Foundation),發展策略上將把CVE計畫轉為獨立的非營利組織,以確保CVE計畫的長期穩定及獨立性。
然而The Register報導指出,這次事件也讓業界注意到單一漏洞資料庫的「單一失敗點(single point of failure)」風險,需要有和其他單位維護的漏洞資料庫,作為美國NVD資料庫以外的選擇,或提供備援、替代方案。
目前最有潛力的選項是歐盟在NIS2(Network and Information Security Directive 2)下,由歐盟網路安全管理署(European Union Agency for Cybersecurity,ENISA)於2024年6月宣布啟動打造歐盟漏洞資料庫(EU Vulnerability Databased,EUVD),作為公開存取的資源。
目前EUVD還只是Beta版。本資料庫允許用戶透過CVSS 或EPSS(Exploit Prediction Scoring System)風險分數、產品、廠商、編號發派者、漏洞刊出日期查詢漏洞,也可以選擇查詢所有漏洞或已被濫用的漏洞。
EUVD計畫使用另一套編號系統,也提供漏洞簡介、文件及修補程式等連結。這使得每項漏洞會有EUVD、CVE及GSD三種編號。GSD是由雲端安全聯盟(Cloud Security Alliance)維運的GSD資料庫。
ENISA對媒體指出,EUVD宗旨為確保多項公開資訊的互連,ENISA也正和歐盟會員國及執委會合作,確保EUVD系統的韌性。
安全廠商及分析師指出,EU和美國資料庫一般情況下還是會互相協同,但個別資料庫的出現,可能會因為歐盟和美國政府立場或法規問題,導致對自有資料庫的偏袒。但是EU資料庫的出現意味著,歐盟對美國政府確保CVE單一資料庫的穩定承諾缺乏信心。
