技术安全焦点

CISA对CVE系统的未来规划

美国网络安全和基础设施安全局（CISA）计划彻底改革通用漏洞披露（CVE）系统，避免重演2025年5月的危机。当时由于资金枯竭，这个全球漏洞标识数据库濒临崩溃。尽管合同暂时延长了一年，但事件已引发全球担忧并削弱了信任。CISA发布立场文件阐述其愿景，技术专家正在评估这些计划是切实改进还是策略性手段。

XSLT从Web平台移除的争议

一位Chrome工程师公开提议将XSLT（可扩展样式表语言转换）从Web平台中移除，引发市场力量担忧。但深入分析显示，该提议具有合理技术依据且并非谷歌主导。XSLT作为XML转换语言曾广泛使用，如今面临淘汰讨论，反映了Web技术栈的持续演进。

NPM生态系统的供应链漏洞

近期NPM（JavaScript包管理器）遭受多轮攻击，攻击者注入了可自我传播的恶意软件"Shai-Hulud"（命名自《沙丘》中的沙虫）。尽管实际损害有限，但威胁持续存在且攻击者身份未知。技术社区一致认为需要从根本上降低供应链攻击的脆弱性。GitHub作为NPM运营方，已在最新安全方案中提出了加固措施。

技术要点总结：

• CVE系统架构面临现代化重构
• XSLT技术淘汰的技术合理性分析
• NPM软件供应链安全机制亟待加强
• 自传播恶意软件的新型攻击模式