CVE资金中断:安全团队如何做好准备?
转载自Perforce Software, Inc.
长期以来的常见漏洞与暴露(CVE)数据库在过去20多年中一直对安全团队起着至关重要的指导作用,联接了网络安全专家、开发人员、供应商和研究人员,使他们能够共同追踪软件中的未知漏洞。
但在2025年4月,MITRE的CVE数据库项目面临风险。美国政府对CVE的资助由MITRE管理并由CISA赞助,即将到期。资金直到最后一刻才得以保障,合同也延期了——就目前而言。然而,该项目可能突然终止的情况在整个网络安全社区敲响了警钟。
以下是安全团队应如何为CVE可能失效的情况做好准备。
2025年4月CVE资金发生了什么?
2025年4月15日,全球获悉MITRE CVE数据库与美国国土安全部的合同将于次日到期,且没有续约的消息。这一空窗期让安全专家感到紧张。许多人担心,如果该数据库下线,全球的软件安全团队将失去一个及时发现和解决已知及新出现漏洞的关键手段。
幸运的是,《福布斯》在2025年4月报道,CVE项目的资金已恢复。CISA迅速宣布将CVE项目的资金延长11个月,但尚未有关于合同是否会无限期延续的消息。
作为回应,一些CVE专家迅速成立了CVE基金会,以在一定程度上实现对 CISA 和MITRE CVE数据库的独立,并限制未来的中断。随着网络安全行业越来越依赖像CVE这样的公共资助的开源程序来分类软件漏洞,聪明的安全团队现在应该做好准备,多样化依赖,并使用其他能够检测漏洞的工具和资源。
为什么CVE很重要?
CVE计划是网络安全生态系统的核心支柱。它为已公开的网络安全漏洞提供了一个通用参考体系。
CVE记录可用于识别和归档软件中的特定安全漏洞。这使安全团队能够快速有效地管理威胁响应,并在整个组织范围内广泛沟通网络威胁信息。
在CVE数据库中,为公开已知的网络安全漏洞分配了CVE标识符。通常,每个标识符包括以下内容:
- 数量
- “入选”或“候选”状态的标识
- 描述符
- 任何额外参考资料。
一个著名的例子是 Log4j 漏洞,CVE-2021-44228。
CVE列表中的每个条目都提供了受影响软件版本的重要细节及漏洞可能带来的影响。这个统一的参考点有助于团队在处理软件潜在问题时保持一致性。此外,将CVE映射到通用漏洞评分系统(CVSS)能帮助安全团队和开发人员优先处理高风险漏洞。
如果CVE资金未获续期会发生什么?
CVE的长期中断或(最坏情况下)终止将对全球网络安全造成灾难性后果。原因如下:
- 集中化将不复存在。若失去CVE体系,网络安全界将缺乏统一的漏洞命名机制。尽管可能出现竞争性替代方案填补CVE计划的空白,但缺乏权威数据源将引发混乱,导致漏洞命名与追踪规范出现碎片化。
- 安全响应延迟。国家漏洞数据库(NVD)在CVE更新及新漏洞分析方面存在延迟,导致无法使用漏洞管理软件的团队面临更高风险。
- 威胁情报中的盲区。CVE更新的延迟可能导致安全团队出现盲区,进而延误补丁管理和补丁优先级排序流程。
- 威胁行为者在暗网上利用漏洞的活动将会加剧。延迟越久、盲区越多,威胁行为者就越有时间和机会发现、开发并利用组织可能尚未察觉的漏洞。
- 全球协作与对美国的信任将遭受重创。若失去CVE计划的集中管理与统一语言,碎片化现象不仅可能在组织内部蔓延,更将波及全球网络安全社群。更重要的是,暂停或彻底终止CVE资金支持的决定,将严重破坏国防部大规模实施的零信任策略与漏洞管理机制,这可能使国际社会对美国作为可靠安全权威的信任陷入动摇。
如果CVE资金停止,组织该如何确保其软件安全?
目前,CVE资金中断的担忧已暂时平息。然而,即便是最关键的网络安全资源也无法保证永续存在。尽管我们期待CVE能继续成为行业中坚不可摧的支柱,但构建具备多重检查点、工具和资源的弹性安全体系至关重要——唯有如此,才能在某条或多条安全通道意外中断时,确保网络安全的坚实防线。
以下是您的团队可采取的准备措施:
1、建立内部数据库
尽管CVE提供了通用标准化方案,DevSecOps团队仍可创建专属的内部漏洞追踪系统。通过完整记录已识别漏洞、相关影响评估及补丁信息,团队能够降低对CVE的依赖程度。
从以下开始:
- 记录已知的软件漏洞并跟踪解决方案。
- 为系统中发现的漏洞使用统一的内部标识符。
2、与同行协作
网络安全社区的蓬勃发展离不开协作。与同行组织、开源社区及私营漏洞研究人员建立更牢固的伙伴关系。共享的报告工具和论坛即使在缺乏集中化资源的情况下,也能实现威胁管理。
考虑加入:
- 信息共享与分析中心(ISACs):这些特定行业的组织有助于信息共享。
- 开放漏洞数据库:诸如开源漏洞(OSV)等平台进一步拓宽了访问渠道。
3、多元化您的信息来源
开始整合替代和补充的漏洞情报来源,例如:
- 国家漏洞数据库(NVD)
- 欧盟漏洞数据库 (EUVD)
- 供应商安全公告
- 探索人工智能/机器学习漏洞利用预测模型,例如漏洞利用预测评分系统(EPSS)。
4、优先处理威胁情报
若CVE资金中断,投资于综合威胁情报平台就显得尤为重要。此类工具整合来自多元渠道的漏洞数据,助您持续掌握新型威胁动态。
5、自动化漏洞管理
通过部署可与现有工作流程集成的工具(如Perforce静态分析工具)来检测和修复漏洞,从而提升运营效率。在资源有限的情况下,能够自动化工作流程的静态分析工具可实现更强的可扩展性并加快响应速度。
使用静态分析进行CVE漏洞检测
静态分析工具可以用于检测在《通用弱点枚举》(CWE)列表中识别的问题,CWE列表本质上是一本关于软件漏洞的参考书。CWE列表包括缓冲区溢出、跨站脚本等类型的安全弱点,而CVE指的是产品或系统中的特定漏洞实例。
当静态分析工具识别出CWE缺陷时,开发人员可轻松查阅与这些缺陷关联的CVE编号,这些编号均记录在CWE条目中。(可在CWE官网查看精选的关联CVE实例。)
信赖Perforce进行静态分析
静态分析工具能在软件开发生命周期中自动发现漏洞并修复缺陷。CVE系统仅在部署后识别漏洞,而静态分析则能在开发阶段就帮助预防漏洞。
Perforce静态分析工具QAC和Klocwork能在开发早期阶段识别并消除CVSS和CVE漏洞及缺陷,确保您的软件安全可靠且符合规范。
QAC与Klocwork可与持续集成/持续交付(CI/CD)工具集成,轻松实现自动化安全测试。它们还能帮助开发者轻松遵守编码规范及安全清单要求,例如CERT、CWE和OWASP等标准。
体验Klocwork和QAC如何帮助您提高软件安全性
欢迎联系我们了解更多资料或申请试用
)
)
