美国政府正采取措施整改备受困恼的 CVE 零碎

时间: 2018-08-31 10:41:53 作者: 管理员

据外媒报道,美国政府正在采取措施修复近年来不断遭到各种成绩困扰的公共破绽和表露(CVE)零碎。

CVE 由 MITRE 公司在美国政府赞助下创立于1999年,它是一个包括平安破绽辨认符(追踪号码)的数据库。自创立以来,CVE 零碎被公共和私营企业采用,普遍使用于全球各地。大少数古代网络平安软件运用 CVE 编号来辨认和跟踪应用某些软件 bug 的网络攻击。

CVE 数据库不断遭到各种成绩的困扰

但近年来,CVE 零碎饱受压力。从2015年末起,少量平安研讨员反应称在获取 CVE 编号时延迟严重。他们中的一群人甚至结合起来创立了一个替代的破绽数据库,称爲散布式弱点归档(DWF)。

事先,MITER 表示 CVE 号码分配延迟是由于软件供给商数量的添加,和软件驱动的工业(SCADA)设备和物联网设备的激增形成的。这两个要素招致破绽报告的数量大幅添加,CVE 员工无法及时跟进。2016年末的一份报揭发现,MITER 的 CVE 未能向2015年发现的 6000 多个破绽分配编号。

美国参议院于 2017 年开端调查 CVE 项目

在媒体的大肆报道后,美国参议院动力和商务委员会于2017年3月底启动了对 CVE 项目的调查。

参议院之所以有权调查 CVE 的运转状况,是由于 MITRE 从美国疆土平安部的国度网络平安处取得运转 CVE 数据库的资金。

经过长达一年的调查后,动力和商务委员本周分歧函疆土平安部(DHS)和 MITRE 公司,概述了调查后果和拟议的举动方案,以处理 CVE 中发现的成绩。

缘由#1:资金动摇和增加

委员会表示,DHS 赞助金额的不分歧和大幅增加是该项目走下坡路并少量积压的缘由之一。信中写道:“2012-2015年,项目收到的资金同比增加了37%。DHS 和 MITER 文档显示,CVE 合同既不波动,又容易呈现方案和资金上的猛烈动摇。”

爲处理这一成绩,委员会建议疆土平安部官员将 CVE 的资金从基于合同的赞助方案转移到 DHS 的本身预算内,作爲 PPA(方案、项目或活动)赞助项目,让 MITRE 专注于运营 CVE 数据库而不必总是担忧赞助成绩。

缘由#2:缺乏监视

其次,委员会还确定了第二个成绩来源,即缺乏对 CVE 项目的监视。

“管理 CVE 方案的历史理论显然是不够的。除非获得严重停顿,否则它们能够会再次引发对整个社会利益相关者发生间接负面影响的成绩和应战”,委员会建议 DHS 和 MITER 停止两年一次的审查,以确保该项目在将来几年的波动性和无效性,协助在渗入下游网络平安行业之前发现成绩。