吳明宜歐盟自建的歐洲漏洞資料庫 (European Vulnerablitliy Database, EUVD) 本周已正式上線,在美國姐妹資料庫面臨預算縮減、延遲揭露等高度不確定之中,肩負起監控安全漏洞的責任。
主持 EUVD 的歐盟網路安全管理署 (ENISA) 執行總監 Juhan Lepassaar 指出,歐盟現在已具備大幅改進漏洞管理及風險的必要工具。該資料庫確保揭露所有受影響的 ICT 產品及服務的資訊透明度,將扮演風險緩解措施的高效消息來源。
ENISA 是在 2024 年 6 月於歐盟網路暨資訊安全 (NIS) 2 指令下,公佈本資料庫建造計畫,上個月悄悄公佈限量存取的 beta 版,那時美國常見漏洞及曝險 (Common Vulnerabilities and Exposure, CVE) 計畫及 ATT&CK 資料庫的營運機構 MITRE 傳出拿不到經費,致使美國漏洞資料庫及通報系統面臨斷炊。後來美國政府最後一刻撥出 CVE 計畫至少 11 個月的經費,但也讓資安界察覺單一系統的風險。
EUVD 類似美國的國家漏洞資料庫 (NVD),會列出已公開漏洞的 CVE ID 及 EUVD ID 、說明漏洞嚴重性和是否有被濫用,以及可用的安全公告及修補程式。且不同於 NVD 網站資訊更新緩慢且難以搜尋,EUVD 幾乎即時更新,並將重大和已遭濫用的漏洞置頂顯示。
EUVD 提供三種讀取模式:重大漏洞、已被大量濫用的漏洞,以及供 EU 網路緊急應變小組 (CSIRT) 的合作成員讀取的模式。漏洞資訊來自開源資料庫與各國 CSIRT 發佈的安全公告及警告訊息、廠商提供的緩解和修補指引,以及被濫用的漏洞資訊。
美國方面的危機尚未解除。 CVE 計畫只是一個政府委外專案,目前僅確定可到明年 3 月。且美國仍持續削減主管機關 CISA (Cybersecurity and Infratrusttructure Agency) 及其他網路安全預算,推動軟體開發安全 (Secure by Design) 計畫的 CISA 員工相繼求去。周一 CISA 宣佈不會再於公開網站發佈安全公告—包括詳細被攻擊的漏洞資訊,只會透過電子郵件、 X 和 RSS feed 發佈訊息。
來源:The Register