吳明宜由於美國的通用漏洞與曝險 (Common Vulnerabilities and Exposure, CVE) 計畫差點關閉,致使歐盟策畫的漏洞資料庫更加引人注目。
美國負責維護漏洞公開資料庫 ATT&CK 的非營利組織 MITRE,上周傳出無法再獲得川普政府的 CVE 計畫經費,致使美國漏洞資料庫及通報系統面臨斷炊危機。雖然美國政府最後一刻髮夾彎續命 CVE 計畫,至少可再維持 11 個月,但也讓資安界察覺單一系統的風險。
歐盟網路安全管理署 (European Union Agency for Cybersecurity, ENISA)去年 6 月宣佈投入自建歐盟漏洞資料庫 (Eurpean Union Vulnerability Database EUVD),的資料庫,計畫派發獨特漏洞編號,整合影響文件、公告與修補程式的連結,並且發佈給大眾。
該資料庫也將使用歐盟自有的 EUVD ID,同時使用 CVE ID 和 GSD ID,後者是由產業組織雲端安全聯盟 (Cloud Security Alliance) 維護的編號系統,不過似乎已經荒廢。
雖然 EUVD 還在醞釀籌畫階段,但美國 CVE 計畫事件可能將加速其進行,以備援甚至接手美國作為全球資料庫的角色。 ENISA 也是 CVE 計畫中漏洞編號的命名權威機構之一。
ENISA 發言人說,EUVD 的目的確保多項公開資訊的高度互連,ENISA 正和歐盟會員國及執委會合作,確保 EUVD 系統的韌性。目前 EUVD 為 Beta 版,還在測試中,因此有時會呈現離線狀態。
資安業者 Optiv 主管 Ben Radcliff 指出,美國 CVE 計畫仰賴 CISA 單一資金可能讓承辦組織面臨政治中立的挑戰,EUVD 則希望以多國經費來避免這個問題。然而這也可能加速全球資料庫的分裂,畢竟地緣政府及法規可能偏私自有資料庫。
Flashpoint 漏洞分析師 Brian Martin 分析,歐盟資料庫的出現絕非偶然,可能意 謂對美國政府之於 CVE 的承諾缺乏信任和信心。 CVE 計畫雖然再獲得 11 個月補助,但難保未來還會不會再發生一次危機。
來源:The Register