全球資安圈震盪！CVE 管理上的驚險一刻，Linktech 帶您一探究竟！

｜資安事件概述

近期，Linktech 從 JFrog 原廠獲知，MITRE 公司宣布其負責開發、運營和現代化 CVE（Common Vulnerabilities and Exposures）以及其他相關計劃（如 CWE）的現有合同即將到期。​ 由於 CVE 系統在過去 25 年中在應用程式安全領域中扮演了關鍵角色，這一消息引發了資安界的廣泛關注。​

為了緩解擔憂，MITRE 公開信函後數小時，美國網路安全與基礎設施安全局（CISA）宣布已將與 MITRE 的合同延長至少 11 個月。

｜CVE 計劃的背景

CVE 計劃由 CISA 資助，並由非營利組織 MITRE 管理，旨在使用標準化命名法識別、定義和編目公開披露的軟體漏洞。​

MITRE 負責持續管理 CVE 資料庫，該資料庫包含近 290,000 個 CVE，並與各方合作確保資料的準確性。​ 

｜CVE 計劃終止的潛在影響

如果 CVE 計劃終止，應用程式安全行業將面臨以下三大挑戰：​

1. 失去中央權威機構

2. 無法分配新的CVE

3. 缺乏 CWE 的維護

   
   

失去像 MITRE 這樣的中央權威機構將導致漏洞識別和管理的標準化缺失，進而造成報告和優先級設定上的不一致。

｜現有的替代方案

在開源項目中，存在由不同供應商和項目建立的替代漏洞識別碼，例如：​ 

• GO-2021-0223（Go 語言）

• PYSEC-2023-46（Python）

• GHSA-chh6-ppwq-jh92（GitHub）

• CGA-gx9q-58qg-jvj2（Wolfi）

在商業領域，也有供應商為其特定環境建立的替代漏洞識別碼，例如：​

• ALAS-2025-1966（Amazon）

• MS12-020（Microsoft）

• XRAY-201848（JFrog Xray）​ 

然而，這些替代方案多數僅適用於特定生態系統，無法作為全球性的漏洞識別標準。

​

｜新的替代倡議

鑑於上述挑戰，應用程式安全社群迅速做出反應，例如 GCVE 和由現任 CVE 董事會成員發起的 CVE 基金會。​ 

CVE 基金會旨在確保 CVE 計劃的長期可行性、穩定性和獨立性，避免對政府機構和私人公司的依賴。

｜持續的漏洞管理挑戰

即使目前避開了 CVE 計劃終止的危機，漏洞管理工具仍面臨其他挑戰，例如：​

• NVD 公告 CVE 分析延遲，導致大量 CVE 等待 CVSS 和 CPE 的補充。

• CPE 資料的延遲削弱了將 CVE 與其對應的易受攻擊套件、元件、發行版和版本匹配的能力。

｜對漏洞管理工具的期望

在 CVE 計劃未來不明朗的情況下，組織應：​

1. 了解特定安全解決方案的功能和限制。

2. 避免僅依賴單一的 CVE 資訊來源。

3. 積極探索和整合多種資源，以維持強大且有彈性的安全姿態。

4. 採用支持多種漏洞來源、支持非 CVE 漏洞並進行漏洞研究的安全掃描工具。

   
   

綜上所需，Linktech在此推薦 JFrog，JFrog Xray 可以協助從多個來源（包括 NVD、OSV、GitHub 諮詢資料庫、供應商公告等）等進行資料整合產生出專屬的漏洞庫，該漏洞庫中提供了完整的應用套件相關資訊，藉此提高漏洞管理的準確性和效率，進而降低引用第三方套件的風險。

｜總結

雖然這次透過延長 MITRE 的合同避免了重大挑戰，但這一事件提醒我們，貴司開發團隊應該為未來可能出現的 CVE 資訊流中斷做好準備。​

CVE 基金會的成立為確保 CVE 計劃的持續運作提供了希望，但其未來的發展仍需觀察。​

組織應採取多元化的漏洞管理策略，避免依賴單一資訊來源，並積極整合各種資源，以應對不斷演變的漏洞管理威脅。

想了解更多更多關於 JFrog 的資訊和功能，Linktech 專業顧問團隊歡迎您來信或來電洽詢！