美国政府采取措施促进CVE计划实施

美国政府正在采取措施修复近年来一直受到各种问题困扰的常见漏洞和暴露（CVE）系统。

CVE于1999年由MITRE公司利用美国政府资助创建的。它是一个包含安全漏洞标识符（跟踪号）的数据库。

自创建以来，CVE系统已被公共和私营部门采用。大多数现代网络安全软件使用CVE编号来识别和跟踪利用特定软件错误的网络攻击。

尽管该系统是美国创立，但该系统已在全球各国广泛采用，这些国家使用并认可MITRE员工和行业合作伙伴发布的CVE标识符。

CVE数据库一直受到各种问题的困扰

但近年来，CVE系统一直处于压力之下。当大量的安全研究报告大规模延迟接收CVE编号为他们的报告漏洞的问题，在2015年末和2016年年初开始显示这个趋势。有一次，他们中的一些人联合起来创建了一个替代漏洞数据库，称为分布式弱点归档（DWF）。

当时，MITER表示CVE号码分配延迟是由于软件供应商数量的增加，与90年代末和21世纪初相比，也是因为软件驱动的工业（SCADA）设备和物联网的激增（物联网（IoT）设备。

这两个因素都导致了漏洞报告的大幅增加，CVE员工无法跟上这些报告。2016年末的一份报告发现，MITER的CVE未能将CVE数量分配给2015年发现的6,000多个漏洞。

美国参议院于2017年开始调查CVE计划

根据上述媒体报道，美国参议院能源和商务委员会于2017年3月底启动了对CVE计划的调查。

参议院有权调查CVE计划的运行，因为MITER从美国国土安全部的国家网络安全部获得运行CVE数据库的资金。

周一，经过长达一年的CVE计划调查，能源和商务委员会致函国土安全部（DHS）和MITRE公司。

在这些信件中，委员会概述了调查的结果和拟议的行动方案，以解决CVE系统中发现的问题。

原因＃1：波动和减少资金

根据这两封信，委员会表示，它认为DHS资金的不一致和大幅减少是该计划走下坡路并积累大量积压的原因之一。

委员会在致DHS和MITER的信中写道：“从2012年到2015年，该计划平均收到的资金减少了37％。”

“DHS和MITER制作的文件显示，CVE合同车辆既不稳定，又容易出现时间表和资金的急剧波动，”这些信件补充道。

为解决这一问题，委员会建议国土安全部官员将CVE的资金从基于合同的资助计划转移到DHS预算本身，作为PPA（计划，项目或活动）资金项目。

委员会认为，这将提供持续的资金流，减少巨额预算波动，并使MITER专注于运行CVE数据库，而不是总是担心其未来的资金。

原因＃2：缺乏监督

其次，委员会还确定了第二个问题来源，即缺乏对CVE计划的监督。

“管理CVE计划的历史实践显然是不够的。除非取得重大进展，否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的挑战，”信中写道。

委员会建议国土安全部和MITER进行两年一次的审查，以确保该计划在未来几年的稳定性和有效性。这些评论的作用是在问题发生之前发现问题，直到它们逐渐渗入下游网络安全行业。

发送给DHS和MITER首席执行官的信件分别在这里和这里提供。