ENISA成为CVE项目根机构，强化欧洲漏洞管理框架

欧盟网络安全局（ENISA）已被正式指定为全球通用漏洞披露（CVE）项目的项目根机构。这标志着欧盟在加强网络安全韧性和协调成员国漏洞管理方面迈出了重要一步。

作为项目根机构，ENISA将成为国家当局、欧盟CSIRTs网络成员及其授权范围内其他合作伙伴的中央联络点。此举与NIS2指令和《网络韧性法案》等主要立法努力保持一致，同时进一步支持欧盟漏洞数据库（EUVD）的推出。

Black Duck首席安全工程师Boris Cipot将这一进展描述为“迈向欧洲更强网络安全韧性的重要一步”，他指出集中漏洞协调“确保了整个欧盟安全漏洞信息处理更快速、更一致，同时也与NIS2和《网络韧性法案》等关键倡议保持一致”。

他补充说，ENISA的新角色使欧盟“在漏洞管理方面获得了必要的战略自主权”，减少了对非欧盟实体的依赖，并有助于“协调欧洲成员国的CVE实践”。

Cipot还强调了这对研究者和供应商的长期益处，并表示“想法和目标是让研究者和网络安全供应商能够更快获得CVE编号分配，根据欧盟法律获得更清晰的法律指导，并通过EUVD和全球CVE列表获得更高的可见性”。

Forescout研究主管Daniel dos Santos解释说，这一指定反映了双方的动力。“这既显示了ENISA对CVE项目的承诺，也表明CVE项目有兴趣获得ENISA的贡献，”他表示，“当有更多组织参与塑造CVE项目和漏洞报告的未来时，每个人都会受益。”

他还指出，这一转变应“为各国当局、CSIRTs和其他合作伙伴简化流程，因为他们可以与欧洲的CVE项目建立单一联系点”，同时帮助研究者和供应商就协调披露实践达成一致。

然而，两位专家都警告说，成功实施将在很大程度上取决于资源。Cipot指出了潜在的整合挑战，包括政策和工具的协调，而dos Santos则强调了持续投资的必要性。

“主要挑战是确保ENISA有足够的资金和资源来完成其‘在欧洲实现高水平网络安全’的持续使命，同时现在还要在CVE项目中承担扩展角色，”Forescout的dos Santos解释说，“最近ENISA的任务有几项增加，包括启动欧盟漏洞数据库和《网络韧性法案》。正如最近NVD积压和资金问题所显示的那样，漏洞报告是一项需要大量时间和精力的任务，因此ENISA必须在这与其持续责任之间取得平衡。”

随着ENISA在漏洞报告和协调方面承担更大责任，其表现将受到整个地区安全团队、供应商和政策制定者的密切关注。