top of page

全球資安圈震盪!CVE 管理上的驚險一刻,Linktech 帶您一探究竟!

已更新:3小时前

|資安事件概述

近期,Linktech 從 JFrog 原廠獲知,MITRE 公司宣布其負責開發、運營和現代化 CVE(Common Vulnerabilities and Exposures)以及其他相關計劃(如 CWE)的現有合同即將到期。​ 由於 CVE 系統在過去 25 年中在應用程式安全領域中扮演了關鍵角色,這一消息引發了資安界的廣泛關注。​

為了緩解擔憂,MITRE 公開信函後數小時,美國網路安全與基礎設施安全局(CISA)宣布已將與 MITRE 的合同延長至少 11 個月


|CVE 計劃的背景

CVE 計劃由 CISA 資助,並由非營利組織 MITRE 管理,旨在使用標準化命名法識別、定義和編目公開披露的軟體漏洞。​

MITRE 負責持續管理 CVE 資料庫,該資料庫包含近 290,000 個 CVE,並與各方合作確保資料的準確性。​ 


|CVE 計劃終止的潛在影響

如果 CVE 計劃終止,應用程式安全行業將面臨以下三大挑戰:​

  1. 失去中央權威機構

  2. 無法分配新的CVE

  3. 缺乏 CWE 的維護


失去像 MITRE 這樣的中央權威機構將導致漏洞識別和管理的標準化缺失,進而造成報告和優先級設定上的不一致。


|現有的替代方案

在開源項目中,存在由不同供應商和項目建立的替代漏洞識別碼,例如:​ 

  • GO-2021-0223(Go 語言)

  • PYSEC-2023-46(Python)

  • GHSA-chh6-ppwq-jh92(GitHub)

  • CGA-gx9q-58qg-jvj2(Wolfi)


在商業領域,也有供應商為其特定環境建立的替代漏洞識別碼,例如:​

  • ALAS-2025-1966(Amazon)

  • MS12-020(Microsoft)

  • XRAY-201848(JFrog Xray)​ 


然而,這些替代方案多數僅適用於特定生態系統,無法作為全球性的漏洞識別標準。

|新的替代倡議

鑑於上述挑戰,應用程式安全社群迅速做出反應,例如 GCVE 和由現任 CVE 董事會成員發起的 CVE 基金會。​ 

CVE 基金會旨在確保 CVE 計劃的長期可行性、穩定性和獨立性,避免對政府機構和私人公司的依賴。


|持續的漏洞管理挑戰

即使目前避開了 CVE 計劃終止的危機,漏洞管理工具仍面臨其他挑戰,例如:​

  • NVD 公告 CVE 分析延遲,導致大量 CVE 等待 CVSS 和 CPE 的補充。

  • CPE 資料的延遲削弱了將 CVE 與其對應的易受攻擊套件、元件、發行版和版本匹配的能力。


|對漏洞管理工具的期望

在 CVE 計劃未來不明朗的情況下,組織應:​

  1. 了解特定安全解決方案的功能和限制。

  2. 避免僅依賴單一的 CVE 資訊來源。

  3. 積極探索和整合多種資源,以維持強大且有彈性的安全姿態。

  4. 採用支持多種漏洞來源、支持非 CVE 漏洞並進行漏洞研究的安全掃描工具。


綜上所需,Linktech在此推薦 JFrog,JFrog Xray 可以協助從多個來源(包括 NVD、OSV、GitHub 諮詢資料庫、供應商公告等)等進行資料整合產生出專屬的漏洞庫,該漏洞庫中提供了完整的應用套件相關資訊,藉此提高漏洞管理的準確性和效率,進而降低引用第三方套件的風險


|總結

雖然這次透過延長 MITRE 的合同避免了重大挑戰,但這一事件提醒我們,貴司開發團隊應該為未來可能出現的 CVE 資訊流中斷做好準備。​

CVE 基金會的成立為確保 CVE 計劃的持續運作提供了希望,但其未來的發展仍需觀察。​

組織應採取多元化的漏洞管理策略,避免依賴單一資訊來源,並積極整合各種資源,以應對不斷演變的漏洞管理威脅。


想了解更多更多關於 JFrog 的資訊和功能,Linktech 專業顧問團隊歡迎您來信或來電洽詢!

linktech_logo
OPENING HOURS:
Monday - Friday  9:00a.m ~ 6:00p.m
​新北市板橋區三民路二段 37 號 7 樓之 2
台灣 Taiwan
Tel 1 : +886 2 7752 7658
Tel 2 : +886 2 2959 9166
Fax   : +886 2 2959 9198
  • Facebook
  • YouTube

Copyright © Linktech Inc. All rights reserved. 

bottom of page