美国政府正采取措施整改备受困恼的 CVE 系统

栏目: IT资讯 · 发布时间: 6年前

内容简介:据外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。 CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来...

外媒报道,美国政府正在采取措施修复近年来一直受到各种问题困扰的公共漏洞和暴露(CVE)系统。

CVE 由 MITRE 公司在美国政府资助下创建于1999年,它是一个包含安全漏洞识别符(追踪号码)的数据库。自创建以来,CVE 系统被公共和私营企业采用,广泛应用于全球各地大多数现代网络安全软件使用 CVE 编号来识别和跟踪利用某些软件 bug 的网络攻击。

CVE 数据库一直受到各种问题的困扰

但近年来,CVE 系统饱受压力。从2015年末起,大量安全研究员反馈称在获取 CVE 编号时延迟严重。他们中的一群人甚至联合起来创建了一个替代的漏洞数据库,称为分布式弱点归档(DWF)。

当时,MITER 表示 CVE 号码分配延迟是由于软件供应商数量的增加,和软件驱动的工业(SCADA)设备和物联网设备的激增造成的。这两个因素导致漏洞报告的数量大幅增加,CVE 员工无法及时跟进。2016年末的一份报告发现,MITER 的 CVE 未能向2015年发现的 6000 多个漏洞分配编号。

美国参议院于 2017 年开始调查 CVE 项目

在媒体的大肆报道后,美国参议院能源和商务委员会于2017年3月底启动了对 CVE 项目的调查。

参议院之所以有权调查 CVE 的运行情况,是因为 MITRE 从美国国土安全部的国家网络安全处获得运行 CVE 数据库的资金。

经过长达一年的调查后,能源和商务委员本周一致函国土安全部(DHS)和 MITRE 公司,概述了调查结果和拟议的行动方案,以解决 CVE 中发现的问题。

原因#1:资金波动和减少

委员会表示,DHS 资助金额的不一致和大幅减少是该项目走下坡路并大量积压的原因之一。信中写道:“2012-2015年,项目收到的资金同比减少了37%。DHS 和 MITER 文档显示,CVE 合同既不稳定,又容易出现计划和资金上的剧烈波动。”

为解决这一问题,委员会建议国土安全部官员将 CVE 的资金从基于合同的资助计划转移到 DHS 的自身预算内,作为 PPA(计划、项目或活动)资助项目,让 MITRE 专注于运营 CVE 数据库而不用总是担心资助问题。

美国政府正采取措施整改备受困恼的 CVE 系统

原因#2:缺乏监督

其次,委员会还确定了第二个问题来源,即缺乏对 CVE 项目的监督。

“管理 CVE 计划的历史实践显然是不够的。除非取得重大进展,否则它们可能会再次引发对整个社会利益相关者产生直接负面影响的问题和挑战”,委员会建议 DHS 和 MITER 进行两年一次的审查,以确保该项目在未来几年的稳定性和有效性,帮助在渗入下游网络安全行业之前发现问题。

来源:bleepingcomputer  编译:开源中国


【声明】文章转载自:开源中国社区 [http://www.oschina.net]


以上就是本文的全部内容,希望本文的内容对大家的学习或者工作能带来一定的帮助,也希望大家多多支持 码农网

查看所有标签

猜你喜欢:

本站部分资源来源于网络,本站转载出于传递更多信息之目的,版权归原作者或者来源机构所有,如转载稿涉及版权问题,请联系我们

程序员实用算法

程序员实用算法

Andrew Binstock、John Rex / 陈宗斌 / 机械工业出版社 / 2009-9 / 65.00元

《程序员实用算法》重点关注的是实用、立即可用的代码,并且广泛讨论了可移植性和特定于实现的细节。《程序员实用算法》作者介绍了一些有用但很少被讨论的算法,它们可用于语音查找、日期和时间例程(直到公元1年)、B树和索引文件、数据压缩、任意精度的算术、校验和与数据验证,并且还最全面地介绍了查找例程、排序算法和数据结构。 《程序员实用算法》结构清晰,示例丰富,可作为广大程序员的参考用书。一起来看看 《程序员实用算法》 这本书的介绍吧!

JSON 在线解析
JSON 在线解析

在线 JSON 格式化工具

HTML 编码/解码
HTML 编码/解码

HTML 编码/解码

SHA 加密
SHA 加密

SHA 加密工具