欧盟推出了自己的安全漏洞数据库EUVD
欧洲漏洞数据库 (EUVD) 现已全面投入运营,在美国面临预算削减、信息披露延迟以及对其自身跟踪系统未来的困惑之际,该数据库提供了一个精简的平台来监控关键且被积极利用的安全漏洞。截至周二,该网站的完整版本已启动并运行。
访问EUVD:
ENISA 执行董事 Juhan Lepassaar 在宣布 EUVD 的声明中表示:“欧盟现在拥有一项重要工具,旨在大幅改善对漏洞及其相关风险的管理。该数据库确保受影响 ICT 产品和服务的所有用户的透明度,并将成为寻找缓解措施的有效信息来源。”
欧盟网络安全局(ENISA)于 2024 年 6 月根据欧盟网络和信息安全 2 指令的授权首次宣布了该项目,并于上个月在美国通用漏洞和暴露(CVE)计划不确定的时期悄然推出了有限访问的测试版。
美国政府对 CVE 计划的资助原定于 4 月到期,直到美国网络安全和基础设施安全局(又称 CISA)在最后一刻介入并与 MITRE 续签了运营该计划的合同。更广泛地说,美国政府一直在努力削减 CISA和其他网络安全资金,而负责美国政府安全设计计划的关键联邦雇员纷纷跳槽。 此外,CISA 周一表示,将不再在其公共网站上发布常规警报,包括详细说明已利用漏洞的警报。取而代之的是,这些更新将通过电子邮件、RSS 订阅以及该机构在 X 上的账户发送。
鉴于此,网络安全专业人士对美国政府加强网络安全和消除漏洞的决心产生怀疑也是可以理解的。
EUVD 与美国政府的国家漏洞数据库(NVD) 类似,它会识别每个已披露的漏洞(使用 CVE 分配的 ID 和其自身的 EUVD 标识符),记录漏洞的严重程度和利用状态,并提供可用的公告和补丁链接。
与 NVD 不同,NVD 仍在努力处理大量积压的漏洞提交,而且导航不太方便,而 EUVD 则几乎实时更新,并在网站顶部突出显示关键漏洞和已利用的漏洞。
EUVD 提供了三个仪表板视图:一个用于严重漏洞,一个用于主动利用的漏洞,一个用于由EU CSIRTs 网络成员协调的漏洞。
信息来源于开源数据库以及国家 CSIRT 发布的建议和警报、供应商发布的缓解和修补指南以及被利用的漏洞详细信息。
ENISA 还是CVE 编号机构 (CNA),这意味着它可以分配 CVE 标识符并协调 CVE 项目下的漏洞披露。然而,即使作为活跃的 CNA,ENISA 似乎也不清楚这个陷入困境的美国政府资助的 CVE 项目的下一步走向,该项目与 MITRE 的合同只到明年 3 月到期。
发布公告指出,“ENISA 正在与 MITRE 联系,以了解在宣布向通用漏洞与暴露计划提供资金后的影响和后续步骤。”
