Dark Reading Confidential:为未来的CVE项目提供资金
TechTarget与Informa Tech的数字业务合并。我们共同运营着一个无与伦比的网络,拥有220多个在线属性,覆盖10,000多个细分主题,为5000多万专业人士提供来自可信来源的原创、客观内容。我们帮助您获得关键见解,并在业务优先级上做出更明智的决策。
黑帽新闻
Omdia网络安全
广告
新闻通讯注册
网络安全主题
相关主题
- 应用安全
- 网络安全职业
- 云安全
- 网络风险
- 网络攻击与数据泄露
- 网络安全分析
- 网络安全运营
- 数据隐私
- 终端安全
- ICS/OT安全
- 身份与访问管理安全
- 内部威胁
- IoT
- 移动安全
- 边界
- 物理安全
- 远程劳动力
- 威胁情报
- 漏洞与威胁
近期网络安全主题
PR标志 应用安全 42%的使用AI的开发人员表示他们的代码库现在大部分由AI生成 2025年8月3日 2分钟阅读 程序员在屏幕背景下编写软件代码
应用安全 LLMs的AI生成代码仍然极不安全 作者:Robert Lemos,特约撰稿人 2025年7月31日 6分钟阅读
世界 相关主题 DR全球 中东与非洲 亚太地区
近期世界 查看全部 2025年6月13日,导弹飞越特拉维夫上空 威胁情报 伊朗-以色列战争引发网络空间混乱 作者:Nate Nelson,特约撰稿人 2025年6月18日 5分钟阅读
The Edge DR技术 事件 相关主题 即将举行的事件 播客 网络研讨会 查看全部
资源 相关主题 图书馆 新闻通讯 播客 报告 视频 网络研讨会 白皮书 合作伙伴视角 查看全部
网络安全运营 网络风险 威胁情报 行业趋势
Dark Reading Confidential:为未来的CVE项目提供资金
Dark Reading Confidential第8集:CVE项目的联邦资金将于2026年4月到期,三位专家一致认为行业在应对迫在眉睫的危机方面做得不够。Bugcrowd的Trey Ford、专家Adam Shostack和漏洞历史学家Brian Martin与Dark Reading坐下来,帮助我们弄清楚CVE项目的“良好”未来会是什么样子,以及如何实现这一目标。
Dark Reading员工,Dark Reading 2025年7月31日 Becky Bracken
大家好,欢迎来到Dark Reading Confidential。这是Dark Reading编辑们的播客,直接为您带来来自网络战壕的真实故事。今天,我和我的同事Rob Wright一起,他是Dark Reading的高级新闻总监,为我们带来一集新的节目,我们称之为“为未来的CVE项目提供资金”。你好,Rob。感谢你的加入。
Rob Wright 谢谢邀请我。
Becky Bracken 去年春天,网络部门陷入混乱,当时CISA有点突然宣布打算撤回对CVE项目的资金,这项服务对网络安全如此基础,前CISA老板Jen Easterly称之为“漏洞的杜威十进制系统”。在那次反弹之后,CISA宣布将延长资金11个月,但时间正在流逝。
所以Dark Reading想聚集我们能找到的最聪明的专家,帮助我们弄清楚,正如Trey Ford在RSA会议上告诉我的,CVE项目的未来“良好”是什么样子。首先,让我欢迎你,Trey Ford,Bugcrowd的CEO。非常感谢你今天加入我们。
Trey Ford CISO,不是CEO。Dave(Bugcrowd CEO Dave Gerry)不会让这个滑过去,但谢谢邀请我,Becky。
Becky Bracken 我的错。道歉。CISO,道歉。
相关:Darktrace收购Mira Security
我们还有Brian Martin,他是一位漏洞历史学家,维护漏洞数据库已有30年。他是CVE咨询委员会的10年资深成员,正如他自己所说,是CVE生态系统的直言不讳的批评者。欢迎,Brian。
Brian Martin 谢谢。是的。我敢肯定我会成为小组中尖锐的批评者。
Becky Bracken 你知道吗?没有你就不算派对。非常感谢。这会保持活跃。
我们也非常想欢迎Adam Shostack。他是众所周知的网络专家,也是前CVE项目咨询委员会成员。
感谢大家在这里。谢谢。
Adam Shostack 我要说我很伤心在这里。我希望我们不必以这种方式进行这些讨论,但我很高兴加入大家。
Becky Bracken 嗯,谢谢。我们需要你的专业知识来帮助我们度过这些艰难时期。现在,我要让开,把事情交给我的同事。
Rob Wright 谢谢,Becky。所以我想先问你们,CVE项目目前的状况如何。我们知道资金危机,MITRE的合同可能不会续签。它被续签了,但现在我们有不同的组织想对CVE系统做不同的事情。在你们看来,CVE项目今天处于什么位置?Adam,我们为什么不从你开始?
相关:Dark Reading新闻台成立10周年,2025年重返黑帽USA
Adam Shostack 所以,我认为它处于不确定状态。该项目25年来最重要的一点是,尽管有时起伏不定,但该项目显然得到了支持并一直在运营,我怀疑有人可能对下一句话有点不同意,但为了公共利益,目标是成为基础设施类的工作。
资金危机暴露的是,那可能不是我们的未来。我高兴在这里的原因是因为我喜欢你们提出的框架。这个项目应该是什么?我们从它那里得到的值得保留的价值是什么?
我认为目前对这些都没有太多的清晰度。
Rob Wright 好的,Trey,你的想法是什么?
Trey Ford 我要加倍强调。我认为CVE项目是一项公共利益。我们能够自信和一致地谈论什么是漏洞。如果发现了一个漏洞,我们需要能够将其编目。我们需要就我们在讨论什么达成一致。无论我们是在谈论检测和响应,还是在谈论评估分析,我们需要能够跟踪和关联那个缺陷,并知道我们已经解决了它。这是一项单方面的公共利益。
相关:构建完美的安全事件后审查剧本
我认为这对我们如何运营进攻和防御操作都很重要。
Rob Wright 好的,Brian。
Brian Martin 我想以稍微不同的方式设定舞台,这样当我们谈论CVE时,我们不只是谈论由MITRE运行的CVE,而是谈论更广泛的CVE生态系统,其中包括NVD(国家漏洞数据库)以及CISA和他们的贡献。对吧?所以,当我谈论CVE时,我是在谈论更大的图景。
我认为项目的意图是好的。我认为它作为全球服务的意图是绝对存在的。
我认为执行是它失败的地方。我认为如果我们在资金危机之前一年进行这次讨论,我们可以谈论项目的一系列问题。现在只是,它会被资助吗?它会被转移到CISA吗?他们基本上会接管控制权?肯定有很多不确定性。但我认为重要的是我们既要解决当前的问题,也要解决CVE项目正在发生的事情,与去年没有太大不同,除了现在我们有了资金危机。
Rob Wright 那么让我们拨回一点。在你看来,从CVE项目的角度,系统运行的主要问题是什么,不仅仅是你所说的整个CVE系统?
Brian Martin 不幸的是,我们只有30分钟。我 honestly 可以谈30分钟,但我的意思是,一些亮点是CVE项目,在我看来,管理不善。它远远超出预算。他们有太多的钱,却做得太少。NVD显然有一个疯狂增长的后备日志,今年大多数漏洞都没有被分析。
即使在MITRE内部,也不为人所知,但他们没有人在CVE条目上做任何QA(质量保证),对吧?所以,描述过来,有些是惊人的,比如我相信思科和一些高调的CNA(CVE编号机构),他们写优秀的描述。
另一方面,你有CNA会产生彻底的垃圾。我的意思是,就像一两行,在某些情况下,我们得到的条目没有提到供应商、产品或版本。那是一个毫无价值的CVE条目。
除了现在Adam、Trey和我,各自在我们的组织中,必须进去弄清楚这个条目发生了什么。它影响我们吗?对吧。这与项目的目的是相反的。如果MITRE不能使用那笔巨额资金做基本的QA,系统从根本上是有缺陷的。这就是我要持相反意见的地方——这也不是新的,我一直这么说——我希望看到CVE完全烧毁并重建。我希望看到它由更了解运行漏洞数据库细微差别的人重建,他们知道如何整合所有努力,这样它就不会分散在三个机构中。还有更多可以做的。
Trey的问题,良好是什么样子?那是一个很好的点。
我认为如果我们能定义它是什么样子,那么CISA、MITRE、NIST,任何他们都可以努力去那里。
Rob Wright Trey,你对那的想法。
Trey Ford 我喜欢我听到的很多内容。我不觉得那相反。我认为那是一个诚实的数据导向的担忧。我认为危机也代表机会。我们这里有一个挑战,资金现在设定在什么,八到九个月内到期?所以,我们在倒计时。我们有一个问题,这应该住在哪里?应该如何资助?谁应该拥有它?不是每个政府都相处得好。
我们正在看到那,而那也不是新的。这应该住在美国政府内部吗?这应该由公共或私人实体资助吗?显然作为一项公共利益,没有利益从运营中获得商业利益的政党或实体应该驱动它。应该有很高的透明度。我认为如果我们退回到Brian的观点,我们要基于第一原则重新架构这,良好是什么样子,质量保证应该是什么样子。
之间的关系是什么,我们回到Easterly的杜威十进制系统,如果我们要参考,比如DNS或PKI,消费数据的每种方式之间的关系是什么?我们可以使用现代参考架构建立一个权威的第一原则架构,更多的透明度,更多的联邦和伙伴关系,更多的反馈循环。有很多可以做的。但我不知道这是否会在政府内部运营。
现在,这涉及到政治和哲学,但我觉得私营部门提供的速度和问责制,无论是一个非营利还是营利实体,我更喜欢一个非营利来做这个。我认为这打开了很多机会。跳进来,Brian。不需要礼貌。我们都是朋友在这里。让我们做吧。
Brian Martin 嗯,是的,我只是想再快速说一点,因为我认为它会帮助框架剩下的这是,我们现在还必须考虑的是,既然有那 literally 最后一分钟的资金危机,MITRE在前一天告诉公众,对吧?CISA介入说,我们要资助它。他们看起来像英雄,当他们不是。他们一直是控制合同的人,对吧?但损害已经造成。
回到Trey说的谁应该运行这个公共-私人,这个和那个。我们已经有了所有其他倡议启动。我们有欧洲漏洞数据库。我们有GCV。我们有,是CVE董事会基金会还是什么基金会,以及他们注入的所有混乱,领导层任意变更。基于他们的历史,MITRE没有做某些他们应该做的事情。信任已经被侵蚀,对吧?
向前推进,我们还必须考虑,美国政府能重新获得那种信任吗?如果能,他们应该是运行这个的人,还是他们应该说,让我们停在这里,让我们创建一个更全球的,某种,我不知道,集体,无论你想叫它什么,欧盟、美国或任何其他国家想加入帮助资助、运行和输入数据。
Rob Wright 我想问在我们进一步深入这条路之前……假设有一个组织进来,一个国际组织,试图把每个人聚集在一起,以更公平的方式做这个,我猜,和更有效的方式。Brian,你提到的一些事情,我看到Adam,你点头了。我想听听你的想法,关于一些CVE条目的质量,没有足够的质量控制和质量保证的条目。
我知道作为记者,我经常看到CVE条目。我看到与CNA就谁先得到什么和什么是重复条目而争吵。一些条目是骨架的。它们不包含任何信息。真的很令人沮丧。一个组织怎么能,我不知道,裁决那?他们怎么能管理那?那似乎是一个极其棘手的过程,我怀疑那是否甚至可行,以一种你不会有种质量问题的方式。
Brian Martin 我要说一件事,然后Adam。管理所有那,及时地做,有更好的QA,便宜得多,非常容易。那是事实。没有争论,那是事实。无论如何,Adam。
Adam Shostack 所以,我认为有些事情是容易的。例如,不要让某人在没有产品名称和版本的情况下发布CVE。有些事情是容易的,比如捕捉辩论的双方。我认为超级重要的一件事关于CVE,最近未充分利用,是参考字段。
Brian想说Trey的CVE是BS,并产生一个连贯的论点说,这里是我的论点,Trey想回应。那些应该进入CVE,所以我不必搜索它们并信任搜索引擎,我们都知道搜索引擎的质量最近急剧下降。有管理辩论和解决辩论。我认为那些可以是分开的事情。
Brian Martin 我还想指出Adam实际上有经验,因为早在过去,早期,CVE董事会实际上投票决定包含漏洞,当它有一个候选标识符时。他们投票,它成为CVE,对吧?今天可以用 paid 员工恢复同样的过程,他们了解漏洞和一切。
那过程可以恢复作为一个例子。但Adam例子的另一个问题是,我们也在得到有一个参考不是活的CVE。它是404。那也没有QA,对吧?即使有一个CVE出现,trace提交了,它是一个漏洞,为什么它甚至不能去检查他的咨询,因为它不是公开的?
Adam Shostack 我认为那是一个可管理的问题,有一个承诺说,我们将在CVE上线24小时后检查URL,如果它不是活的,我们标记那对你不利。如果你没有实际上及时提供活的答案,也许你失去你的CNA状态。但我认为我们应该稍微退后一点。
因为我们有非常不同的定义关于CVE是什么和它应该有什么功能。我们谈到了Jen的杜威十进制类比,这让我想起多年前,Dave Mann,他真的是CVE系统的两位创始人之一,与Steve Christie Coley一起……Dave指出书籍有ISBN和使用PC代码和国会图书馆编目号,这些与杜威编目号不同,因为每个这些服务某个社区。
对我来说,CVE的价值在于其一致性。能够查看之间,如果……如果我们想为Trey使用半现代数据库术语,这是外键,对吧?它甚至不是真正的现代架构。它是1990年代架构。但那个外键是关键的基础设施位,启用各种事情。我认为一个重要的挑战对我来说是我听到人们引用CVE严重性分数,这让我燃烧,因为,我不能在30分钟内公正地辩论CVSS(通用漏洞评分系统),但我会说甚至美国政府启动了KEV(已知被利用漏洞目录)来做CVSS应该做的优先级事情。
FIRST启动了EPSS(利用预测评分系统)作为替代,那种竞争由一致功能启用,命名功能。我认为我们能做的最简单的事情,仍然很难,对吧?Brian提出了关于QA难度的好点。
Rob,你提出了一些关于谁将做这个的好点。所有那本身是困难的。我认为我们真正需要做的是思考缩小我们将要求某人的范围,这样我们可以保持某种程度的连续性,并希望在竞争有意义的地方开放竞争。
Rob Wright Trey,你对那有想法吗?
Trey Ford 我对这有很多想法。为了争论,我知道Brian谈到了膨胀和支出和缺乏性能来自它今天所在的地方,CVE住在MITRE。我认为部分这是政府如何运营的挑战。这不是政治声明。这是,让我们只是从绩效管理和激励的角度说话。私营部门有 far 更高的问责制,和非常不同的方式激励和激励员工,驱动绩效结果,和带来透明度给利益相关者。
那与政府完全不同。所以如果我们回到第一原则 notion 什么是一个伟大的CVE系统将看起来像和什么是一致关系将看起来像?什么是质量控制,监控监督,和所有那些种类的事情?私营部门实体提供的敏捷性将 far 更高。
我认为这个危机创造机会给我们,一,退后和评估什么一个提案,一个理性的第一原则提案可以看起来像。有好人工作在伟大提案上。有不确定性和不清晰性当这些竞争提案在思想市场中将竞争,但我期望那硬化。我们也处于一个状态,天哪,CISA被DOGE-d。我们没有人在位驱动CISA,我们在倒计时。
像有其他竞争优先级像CISA(网络安全信息共享法案)2015必须重新授权。所以,信息共享和一些这个后端信息需要流动也受到挑战。有许多决定必须发生在CISA的领导确认之后,如果和当它被确认。
我会说以最高可能速度启动一个新的CVE操作将采取最少六个月为一个优雅的过渡。那给我们两或三个月 between now, today, and full velocity transfer of leadership if everyone is aligned and everyone agrees and everyone has chosen a path forward that we can partner on. But getting to these foundational, what is a great CVE program going to look like in the future? It’s finished.
Trey Ford Brian提出了好点,Adam进一步澄清了其中一些挑战。但我认为我们有的是一个机会看到这改进。
Rob Wright 所以,你们 then 都同意我们应该有一个独立组织不 tied to the government? I know MITRE’s a corporation, it’s quite independent. An independent international body, private sector body that runs the CVE program and that is accountable in that way?
Adam Shostack 我认为当你说独立,私营部门,和国际,那些是三件事。我认为当你说那些,有问题谁将放钱进去。例如,有非常不同的观点 on, and think philosophically Trey and I are aligned.
Brian Martin 绝对。
Adam Shostack
有很多细节在我们如何思考 exactly what the words we’re using means. And a lot of tradeoffs of where those things take us. And I think the point Trey raised about timelines is right. We need to be thinking about these things now because we don’t… I don’t think we have clear answers. I don’t know.
一个优势实际上有MITRE运行这25年是MITRE essentially for all of the problems, which I’m not going to dispute, they did an OK job of being a neutral party and trying to run a system in a public interest. Could they have done better? Sure. Yeah. Absolutely.
但 also, when we start thinking about replacing them, we have to get really specific about who’s going to replace them, what their interests are, who’s going to fund it, what their interests are, and what that might do to a program. And I think those are important questions. Not to say we can’t solve them, but I think we need to dive into them.
Rob Wright So Brian, yeah, Brian, dive into it.
Brian Martin Trey’s right about the transition period, right? And honestly, it should have started, I think six months is a very, very overly optimistic.
Trey Ford Being highly aggressive … yeah, that’s impossibly fast, but it is it’s doable.
Brian Martin But just for the frame, you know, for the framework discussion. Adam brought up another point is that if you go off the Linux CNA model, which is basically assigning based on a different former CNA. And a real crappy process to derive which ones