全球資安圈震盪!CVE 管理上的驚險一刻,Linktech 帶您一探究竟!
- Linktech
- 1天前
- 讀畢需時 3 分鐘
已更新:3小时前
|資安事件概述
近期,Linktech 從 JFrog 原廠獲知,MITRE 公司宣布其負責開發、運營和現代化 CVE(Common Vulnerabilities and Exposures)以及其他相關計劃(如 CWE)的現有合同即將到期。 由於 CVE 系統在過去 25 年中在應用程式安全領域中扮演了關鍵角色,這一消息引發了資安界的廣泛關注。
為了緩解擔憂,MITRE 公開信函後數小時,美國網路安全與基礎設施安全局(CISA)宣布已將與 MITRE 的合同延長至少 11 個月。
|CVE 計劃的背景
CVE 計劃由 CISA 資助,並由非營利組織 MITRE 管理,旨在使用標準化命名法識別、定義和編目公開披露的軟體漏洞。
MITRE 負責持續管理 CVE 資料庫,該資料庫包含近 290,000 個 CVE,並與各方合作確保資料的準確性。
|CVE 計劃終止的潛在影響
如果 CVE 計劃終止,應用程式安全行業將面臨以下三大挑戰:
失去中央權威機構
無法分配新的CVE
缺乏 CWE 的維護
失去像 MITRE 這樣的中央權威機構將導致漏洞識別和管理的標準化缺失,進而造成報告和優先級設定上的不一致。
|現有的替代方案
在開源項目中,存在由不同供應商和項目建立的替代漏洞識別碼,例如:
GO-2021-0223(Go 語言)
PYSEC-2023-46(Python)
GHSA-chh6-ppwq-jh92(GitHub)
CGA-gx9q-58qg-jvj2(Wolfi)
在商業領域,也有供應商為其特定環境建立的替代漏洞識別碼,例如:
ALAS-2025-1966(Amazon)
MS12-020(Microsoft)
XRAY-201848(JFrog Xray)
然而,這些替代方案多數僅適用於特定生態系統,無法作為全球性的漏洞識別標準。
|新的替代倡議
鑑於上述挑戰,應用程式安全社群迅速做出反應,例如 GCVE 和由現任 CVE 董事會成員發起的 CVE 基金會。
CVE 基金會旨在確保 CVE 計劃的長期可行性、穩定性和獨立性,避免對政府機構和私人公司的依賴。
|持續的漏洞管理挑戰
即使目前避開了 CVE 計劃終止的危機,漏洞管理工具仍面臨其他挑戰,例如:
NVD 公告 CVE 分析延遲,導致大量 CVE 等待 CVSS 和 CPE 的補充。
CPE 資料的延遲削弱了將 CVE 與其對應的易受攻擊套件、元件、發行版和版本匹配的能力。
|對漏洞管理工具的期望
在 CVE 計劃未來不明朗的情況下,組織應:
了解特定安全解決方案的功能和限制。
避免僅依賴單一的 CVE 資訊來源。
積極探索和整合多種資源,以維持強大且有彈性的安全姿態。
採用支持多種漏洞來源、支持非 CVE 漏洞並進行漏洞研究的安全掃描工具。
綜上所需,Linktech在此推薦 JFrog,JFrog Xray 可以協助從多個來源(包括 NVD、OSV、GitHub 諮詢資料庫、供應商公告等)等進行資料整合產生出專屬的漏洞庫,該漏洞庫中提供了完整的應用套件相關資訊,藉此提高漏洞管理的準確性和效率,進而降低引用第三方套件的風險。
|總結
雖然這次透過延長 MITRE 的合同避免了重大挑戰,但這一事件提醒我們,貴司開發團隊應該為未來可能出現的 CVE 資訊流中斷做好準備。
CVE 基金會的成立為確保 CVE 計劃的持續運作提供了希望,但其未來的發展仍需觀察。
組織應採取多元化的漏洞管理策略,避免依賴單一資訊來源,並積極整合各種資源,以應對不斷演變的漏洞管理威脅。
想了解更多更多關於 JFrog 的資訊和功能,Linktech 專業顧問團隊歡迎您來信或來電洽詢!