资金危机悄然化解
去年险些导致全球漏洞追踪系统停摆的资金危机已悄然解决,网络安全生态系统的这一基石避免了再次突发中断的风险。
网络安全和基础设施安全局(CISA)与MITRE公司重新谈判了支撑已有26年历史的通用漏洞披露计划(CVE)的合同,消除了2025年引发安全界恐慌的合同到期危机。据消息人士透露,该项目已从CISA预算中的可支配项目转变为受保护的固定项目,这种结构性变化有望避免去年那种威胁系统存续的戏剧性危机。
2025年曾有约24小时,这个支撑全球漏洞管理工具、威胁情报平台和补丁管理系统的项目濒临突然关闭。当MITRE披露其与美国国土安全部运营该项目的合同即将到期且无续约计划时,整个网络安全界措手不及。CISA最终在最后关头介入,紧急签署了11个月的合同延期,使系统得以继续运行,但也让全球安全界为今年春季可能再次出现的资金悬崖做好准备。
近一年后,这项临时措施已被消息人士称为"更持久的安排"所取代。根据后来公开的会议记录,CVE委员会在2026年1月21日的会议上被告知"3月不会出现资金悬崖",且"持续运营和规划将远超该时间框架"。
从边缘项目到核心保障
对于长期关注漏洞披露的专业人士而言,最重要的转变可能不是续约本身,而是资金结构的改变。
CVE委员会成员、资深网络安全专家兼CVE基金会联合创始人Pete Allor表示,该项目历史上需要与CISA预算中的其他计划争夺剩余资金。"我理解的变化是,我们从'能否用剩余资金支持CVE等项目'提升到了'必须保障'的优先级,这是重大转变。"
这一变化实际上将漏洞编目计划从可能被其他优先事项挤占的可支配项目,提升为核心运营计划。资金前景的改善也促使CVE基金会重新评估其下一步行动——该基金会是在去年的不确定性中成立,旨在探索替代治理模式。
透明度争议持续
尽管资金状况趋于稳定,但合同本身对CVE委员会成员仍不透明。一位要求匿名以保持与CISA和MITRE工作关系的消息人士称,该协议令人放心但缺乏透明度。
这些问题包括项目现代化方案、绩效评估标准以及治理结构改革方向。据知情人士透露,一位CVE委员会成员在连续多次会议上要求查阅MITRE-CISA合同,但MITRE以法律保护为由拒绝。根据《信息自由法》提出的合同查阅请求也未获回应。
全球替代方案初现
去年CVE项目的濒临崩溃引发了网络安全生态系统的应急规划浪潮。CVE基金会开始探索减少对美国单一政府资金来源依赖的治理模式。与此同时,欧盟网络安全局也开始开发自己的漏洞识别框架。
私营机构也采取措施防范潜在中断。例如漏洞情报公司VulnCheck预留了CVE标识符区块,以确保编号系统出现问题时保持连续性。即使资金恐慌已经解决,这些努力也不太可能消失。对治理和长期独立性的结构性担忧继续推动着对互补或替代系统的兴趣。
行业警示长存
尽管眼前的资金危机已经消退,但CISA所处的制度环境仍然不稳定。该机构面临预算削减、领导层更替和人员精简,且已一年多没有参议院确认的主任。
但去年的事件揭示了全球安全生态系统对美国单一政府合同的依赖程度,并引发了关于此类关键基础设施的治理和资金是否应该更加透明、国际化和稳健的广泛讨论。
参考来源:
本文为 独立观点,未经授权禁止转载。
如需授权、对文章有疑问或需删除稿件,请联系 FreeBuf
客服小蜜蜂(微信:freebee1024)
