专栏首页黑白安全美国政府正采取措施整改备受困恼的 CVE 系统

美国政府正采取措施整改备受困恼的 CVE 系统

据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地。大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。

CVE 数据库一直受到各种问题的困扰

但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。

当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。

美国参议院于 2017 年开始调查 CVE 项目

在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。

参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。

经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。

原因#1:资金波动和减少

委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。”

为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。

原因#2:缺乏监督

其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。

“管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。

版权声明

本文仅代表作者观点,不代表黑白网立场。 如文章侵犯了您的权利,请通过邮箱联系我们删除 E-Mail:server@heibai.org 黑白网官群:238921584

原文链接:http://www.heibai.org/post/629.html

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 美国政府正采取措施整改备受困恼的 CVE 系统

    据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

    周俊辉
  • 英特尔管理引擎修复多个安全漏洞

    Chipzilla近期公布了英特尔管理引擎(Intel ME)的更多安全更新。根据发布的多个公告,共计修复了四个漏洞。Positive Technologies...

    周俊辉
  • Systemd 曝出三个漏洞 绝大部分 Linux 发行版易受攻击

    Linux 系统与服务管理工具 Systemd 被曝存在 3 大漏洞,影响几乎所有 Linux 发行版。Systemd 是 Linux 系统的基本构建块,它提供...

    周俊辉
  • 美国政府正采取措施整改备受困恼的 CVE 系统

    据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

    周俊辉
  • 渗透测试 Java架构执行漏洞检测

    近期对平台安全渗透测试中遇到有JAVA+mysql架构的网站,针对此架构我们Sine安全渗透工程师整理了下具体的漏洞检测方法和防护修复方法,很多像执行框架漏洞获...

    网站安全专家
  • 渗透测试公司对JAVA架构安全漏洞测试

    近期对平台安全渗透测试中遇到有JAVA+mysql架构的网站,针对此架构我们Sine安全渗透工程师整理了下具体的漏洞检测方法和防护修复方法,很多像执行框架漏洞获...

    技术分享达人
  • 【强势推荐】一款可扫描CVE的工具

    CVE-扫描 使用NMap扫描系统,并将输出解析为CVE,CWE和DPE列表 目标: 使用NMap或任何其他扫描工具扫描系统,并使用扫描来分析系统中的漏洞 有多...

    用户1467662
  • 剑桥大学计算机系博士孙琳:自然语言处理(NLP)的发展以及在教育领域的应用情况(附报告pdf下载)

    ? ? 大家好!我是孙琳,很高兴参加TAB教育科技论坛,今天分享的题目是“教育应用中的自然语言处理”。首先我先做一下自我介绍,我是剑桥大学计算机系的博士,博士...

    WZEARW
  • 实现文本自动分类的基础----Term频率计算方法

        据说如今互联网上的文档每天以100万的数量增长,这么大的增长量使得Google可能需要1个月甚至更长的时间才能光顾你的网站一次。所以如果你今天对你的网页...

    田春峰-JCJC错别字检测
  • Red Hat安全公告—2016年4月

    在2016年3月份至2016年4月份,Red Hat CVE漏洞库发布了3个“重要”、“严重”等级的安全漏洞,并针对出现的安全漏洞发布了对应的B...

    嘉为科技

扫码关注云+社区

领取腾讯云代金券