美國政府將整改 CVE 系統

最新 09-01

GIF

聚焦源代碼安全，網羅國內外最新資訊！

翻譯：360代碼衛士團隊

美國政府正在採取措施修復近年來充斥著各種問題的公共漏洞列表(CVE)系統。

CVE 系統由 MITRE 公司在美國政府資助下創建於1999年，它是包含安全漏洞識別符（追蹤號碼）的一個資料庫。自創立以來，CVE 系統得到公共和私營企業的採用。多數網路安全軟體使用 CVE 編號來識別並追蹤利用某些軟體 bug 的網路攻擊。

雖然由美國創建，但 CVE 系統已被全球各國所採用，MITRE 員工和行業合作夥伴發布的 CVE 編號得到使用和認可。

CVE資料庫充斥著各種問題

但近年來，CVE 系統飽受壓力。2015年末問題顯現，而在2016年初，大量安全研究員報告稱獲取自己所提交的漏洞的 CVE 編號被嚴重延遲。曾有一小批安全研究人員聯合創建了另外一種漏洞資料庫 DWF （Distributed Weakness Filing，分散式弱點歸檔）。

當時，MITRE 表示 CVE 編號分配延遲是因為相比上世紀90年代和21世紀早期軟體供應商的增長，同時也是 SCADA 設備和物聯網設備激增造成的。這兩個因素造成漏洞報告的數量急劇上升，而 CVE 員工無法跟進。2016年末期發布的一份報告顯示，MITRE 創建的 CVE 系統未能向2015年發現的6000多個漏洞分配 CVE 編號。

美國參議院於2017年開始調查 CVE 項目

經過媒體的大量報道，美國參議院下屬能源和商務委員會在2017年3月末啟動對 CVE 項目的調查。

參議院之所以有權調查 CVE 項目的運行情況，是因為 MITRE 從美國國土安全部國家網路安全處獲得運行 CVE 資料庫的資助。

本周一，經過對 CVE 項目長達一年的調查後，能源和商務委員會向美國國土安全部和 MITRE 公司發出多份信函。委員會在信函中說明了調查結果以及對修復 CVE 系統中存在的問題提出了一些解決方案。

問題1：資助缺乏連續性且數額減少

信函中提到，「從2012年到2015年，項目受到的資助數額平均同比減少37%。」另外，「國土安全部和 MITRE 的文檔顯示，CVE 合同不穩定而且易受計劃安排和資金的劇烈影響。」

為解決這個問題，委員會提議國土安全部官員將對 CVE 的資助從合同資助計劃轉移至國土安全部預算，作為 PPA（計劃、項目或活動）資助線。

委員會認為這樣做會為 CVE 系統提供持續的資助流，減少劇烈的預算波動，並能讓 MITRE 持續運行 `CVE 資料庫而非總是擔心未來的資助問題。

問題2：缺乏監管

第二，委員會還發現 CVE 項目缺乏監管。

信函中提到，「管理 CVE 項目的歷史實踐顯然是不夠的。除非取得重大進展，否則它們可能會再次引發問題，對整個社會利益相關者產生直接的負面影響。」

委員會建議國土安全部和 MITRE 進行兩年一次的審查，以確保項目未來的穩定性和有效性。這些審查的目的是在問題滲入下游的網路安全行業之前發現它們。