美國政府正采取措施整改備受困惱的 CVE 系統

來源：安全狗 發布時間：2018-09-04瀏覽：3215次

美國政府正采取措施整改備受困惱的 CVE 系統

據外媒報道，美國政府正在采取措施修復近年來一直受到各種問題困擾的公共漏洞和暴露（CVE）系統。

  CVE 由 MITRE 公司在美國政府資助下創建于1999年，它是一個包含安全漏洞識別符（追蹤號碼）的數據庫。自創建以來，CVE 系統被公共和私營企業采用，廣泛應用于全球各地。大多數現代網絡安全軟件使用 CVE 編號來識別和跟蹤利用某些軟件 bug 的網絡攻擊。

  CVE 數據庫一直受到各種問題的困擾

  但近年來，CVE 系統飽受壓力。從2015年末起，大量安全研究員反饋稱在獲取 CVE 編號時延遲嚴重。他們中的一群人甚至聯合起來創建了一個替代的漏洞數據庫，稱為分布式弱點歸檔（DWF）。

  當時，MITER 表示 CVE 號碼分配延遲是由于軟件供應商數量的增加，和軟件驅動的工業（SCADA）設備和物聯網設備的激增造成的。這兩個因素導致漏洞報告的數量大幅增加，CVE 員工無法及時跟進。2016年末的一份報告發現，MITER 的 CVE 未能向2015年發現的 6000 多個漏洞分配編號。

  美國參議院于 2017 年開始調查 CVE 項目

  在媒體的大肆報道后，美國參議院能源和商務委員會于2017年3月底啟動了對 CVE 項目的調查。

  參議院之所以有權調查 CVE 的運行情況，是因為 MITRE 從美國國土安全部的國家網絡安全處獲得運行 CVE 數據庫的資金。

  經過長達一年的調查后，能源和商務委員本周一致函國土安全部（DHS）和 MITRE 公司，概述了調查結果和擬議的行動方案，以解決 CVE 中發現的問題。

  原因＃1：資金波動和減少

  委員會表示，DHS 資助金額的不一致和大幅減少是該項目走下坡路并大量積壓的原因之一。信中寫道：“2012-2015年，項目收到的資金同比減少了37％。DHS 和 MITER 文檔顯示，CVE 合同既不穩定，又容易出現計劃和資金上的劇烈波動。”

  為解決這一問題，委員會建議國土安全部官員將 CVE 的資金從基于合同的資助計劃轉移到 DHS 的自身預算內，作為 PPA（計劃、項目或活動）資助項目，讓 MITRE 專注于運營 CVE 數據庫而不用總是擔心資助問題。

  原因＃2：缺乏監督

  其次，委員會還確定了第二個問題來源，即缺乏對 CVE 項目的監督。

  “管理 CVE 計劃的歷史實踐顯然是不夠的。除非取得重大進展，否則它們可能會再次引發對整個社會利益相關者產生直接負面影響的問題和挑戰”，委員會建議 DHS 和 MITER 進行兩年一次的審查，以確保該項目在未來幾年的穩定性和有效性，幫助在滲入下游網絡安全行業之前發現問題。