聯系電話:
+886 2 77182788
-
創提部落格
希望我們能與您分享和探討成長中的點點滴滴
CVE資金中斷:安全團隊如何做好準備?
創提科技
2025/11/04
分享到
轉載自Perforce Software, Inc.
長期以來的常見漏洞與暴露(CVE)資料庫在過去20多年中一直對安全團隊起著至關重要的指導作用,聯接了網路安全專家、開發人員、供應商和研究人員,使他們能夠共同追蹤軟體中的未知漏洞。
但在2025年4月,MITRE的CVE資料庫專案面臨風險。美國政府對CVE的資助由MITRE管理並由CISA贊助,即將到期。資金直到最後一刻才得以保障,合同也延期了——就目前而言。然而,該專案可能突然終止的情況在整個網路安全社區敲響了警鐘。
以下是安全團隊應如何為CVE可能失效的情況做好準備。
2025年4月CVE資金發生了什麼?
2025年4月15日,全球獲悉MITRE CVE資料庫與美國國土安全部的合同將於次日到期,且沒有續約的消息。這一空窗期讓安全專家感到緊張。許多人擔心,如果該資料庫下線,全球的軟體安全團隊將失去一個及時發現和解決已知及新出現漏洞的關鍵手段。
幸運的是,《福布斯》在2025年4月報導,CVE專案的資金已恢復。CISA迅速宣佈將CVE項目的資金延長11個月,但尚未有關於合同是否會無限期延續的消息。
作為回應,一些CVE專家迅速成立了CVE基金會,以在一定程度上實現對 CISA 和MITRE CVE資料庫的獨立,並限制未來的中斷。隨著網路安全行業越來越依賴像CVE這樣的公共資助的開來源程式來分類軟體漏洞,聰明的安全團隊現在應該做好準備,多樣化依賴,並使用其他能夠檢測漏洞的工具和資源。
為什麼CVE很重要?
CVE計畫是網路安全生態系統的核心支柱。它為已公開的網路安全性漏洞提供了一個通用參考體系。
CVE記錄可用於識別和歸檔軟體中的特定安全性漏洞。這使安全團隊能夠快速有效地管理威脅回應,並在整個組織範圍內廣泛溝通網路威脅資訊。
在CVE資料庫中,為公開已知的網路安全性漏洞分配了CVE識別字。通常,每個識別字包括以下內容:
● 數量
●“入選”或“候選”狀態的標識
● 描述符
● 任何額外參考資料。
一個著名的例子是 Log4j 漏洞,CVE-2021-44228。
CVE清單中的每個條目都提供了受影響軟體版本的重要細節及漏洞可能帶來的影響。這個統一的參考點有助於團隊在處理軟體潛在問題時保持一致性。此外,將CVE映射到通用漏洞評分系統(CVSS)能説明安全團隊和開發人員優先處理高風險漏洞。
如果CVE資金未獲續期會發生什麼?
CVE的長期中斷或(最壞情況下)終止將對全球網路安全造成災難性後果。原因如下:
● 集中化將不復存在。若失去CVE體系,網路安全界將缺乏統一的漏洞命名機制。儘管可能出現競爭性替代方案填補CVE計畫的空白,但缺乏權威資料來源將引發混亂,導致漏洞命名與追蹤規範出現碎片化。
● 安全回應延遲。國家漏洞資料庫(NVD)在CVE更新及新漏洞分析方面存在延遲,導致無法使用漏洞管理軟體的團隊面臨更高風險。
● 威脅情報中的盲區。CVE更新的延遲可能導致安全團隊出現盲區,進而延誤補丁管理和補丁優先順序排序流程。
● 威脅行為者在暗網上利用漏洞的活動將會加劇。延遲越久、盲區越多,威脅行為者就越有時間和機會發現、開發並利用組織可能尚未察覺的漏洞。
● 全球協作與對美國的信任將遭受重創。若失去CVE計畫的集中管理與統一語言,碎片化現象不僅可能在組織內部蔓延,更將波及全球網路安全社群。更重要的是,暫停或徹底終止CVE資金支持的決定,將嚴重破壞國防部大規模實施的零信任策略與漏洞管理機制,這可能使國際社會對美國作為可靠安全權威的信任陷入動搖。
如果CVE資金停止,組織該如何確保其軟體安全?
目前,CVE資金中斷的擔憂已暫時平息。然而,即便是最關鍵的網路安全資源也無法保證永續存在。儘管我們期待CVE能繼續成為行業中堅不可摧的支柱,但構建具備多重檢查點、工具和資源的彈性安全體系至關重要——唯有如此,才能在某條或多條秘密頻道意外中斷時,確保網路安全的堅實防線。
以下是您的團隊可採取的準備措施:
1、建立內部資料庫
儘管CVE提供了通用標準化方案,DevSecOps團隊仍可創建專屬的內部漏洞追蹤系統。通過完整記錄已識別漏洞、相關影響評估及補丁資訊,團隊能夠降低對CVE的依賴程度。
從以下開始:
● 記錄已知的軟體漏洞並跟蹤解決方案。
● 為系統中發現的漏洞使用統一的內部識別字。
2、與同行協作
網路安全社區的蓬勃發展離不開協作。與同行組織、開源社區及私營漏洞研究人員建立更牢固的夥伴關係。共用的報告工具和論壇即使在缺乏集中化資源的情況下,也能實現威脅管理。
考慮加入:
● 資訊共用與分析中心(ISACs):這些特定行業的組織有助於資訊共用。
● 開放漏洞資料庫:諸如開源漏洞(OSV)等平臺進一步拓寬了訪問管道。
3、多元化您的資訊來源
開始整合替代和補充的漏洞情報來源,例如:
● 國家漏洞資料庫(NVD)
● 歐盟漏洞資料庫 (EUVD)
● 供應商安全公告
● 探索人工智慧/機器學習漏洞利用預測模型,例如漏洞利用預測評分系統(EPSS)。
4、優先處理威脅情報
若CVE資金中斷,投資於綜合威脅情報平臺就顯得尤為重要。此類工具整合來自多元管道的漏洞資料,助您持續掌握新型威脅動態。
5、自動化漏洞管理
通過部署可與現有工作流程集成的工具(如Perforce靜態分析工具)來檢測和修復漏洞,從而提升運營效率。在資源有限的情況下,能夠自動化工作流程的靜態分析工具可實現更強的可擴展性並加快回應速度。
使用靜態分析進行CVE漏洞檢測
靜態分析工具可以用於檢測在《通用弱點枚舉》(CWE)列表中識別的問題,CWE列表本質上是一本關於軟體漏洞的參考書。CWE列表包括緩衝區溢位、跨站腳本等類型的安全弱點,而CVE指的是產品或系統中的特定漏洞實例。
當靜態分析工具識別出CWE缺陷時,開發人員可輕鬆查閱與這些缺陷關聯的CVE編號,這些編號均記錄在CWE條目中。(可在CWE官網查看精選的關聯CVE實例。)
信賴Perforce進行靜態分析
靜態分析工具能在軟體發展生命週期中自動發現漏洞並修復缺陷。CVE系統僅在部署後識別漏洞,而靜態分析則能在開發階段就幫助預防漏洞。
Perforce靜態分析工具QAC和Klocwork能在開發早期階段識別並消除CVSS和CVE漏洞及缺陷,確保您的軟體安全可靠且符合規範。
QAC與Klocwork可與持續集成/持續交付(CI/CD)工具集成,輕鬆實現自動化安全測試。它們還能説明開發者輕鬆遵守編碼規範及安全清單要求,例如CERT、CWE和OWASP等標準。
體驗Klocwork和QAC如何説明您提高軟體安全性
歡迎聯繫我們瞭解更多資料或申請試用