（图片来源：Jerome460 / Shutterstock）

25年漏洞追踪体系即将终结

美国非营利研发组织MITRE宣布，其与美国国土安全部（DHS）签订的"通用漏洞披露（CVE）"数据库维护合同将于2025年4月16日午夜到期。这个运行25年的项目作为网络安全防御体系的核心支柱，因DHS未说明具体原因拒绝续约而面临终止。

MITRE国土安全中心主任Yosry Barsoum在致CVE委员会的信函中证实："2025年4月16日（周三），MITRE用于开发、运营和现代化CVE®项目及相关计划（如通用缺陷枚举CWE™项目）的资金将终止。政府仍在大力支持MITRE在项目中的角色，MITRE也始终将CVE视为全球公共资源。"

业界痛斥"悲剧性决定"

兰德公司高级政策研究员Sasha Romanosky将CVE项目的终结称为"悲剧"，这一观点得到众多网络安全专家的认同。他表示："CVE编号及软件版本漏洞分配是整个漏洞生态系统的基石。失去它，我们将无法追踪新发现漏洞、评估严重性、预测利用风险，更无法做出最佳修复决策。"

Bitsight首席科学家Ben Edwards表示："这令人深感遗憾。CVE是绝对值得持续资助的宝贵资源，不续约是个错误决策。"他补充道："希望中断只是暂时的。若合同最终未能续签，生态系统中其他利益相关方或许能接手MITRE的工作。得益于该系统的联邦架构和开放性，这种过渡存在可能，但转移运营主体必将充满挑战。"

全球网络安全基石崩塌

MITRE的CVE项目是全球网络安全生态的基础支柱，已成为识别漏洞和指导防御者实施漏洞管理的事实标准。它为供应商产品提供核心数据支撑，涉及漏洞管理、网络威胁情报、安全信息与事件管理（SIEM）、终端检测与响应（EDR）等多个领域。

尽管美国国家标准与技术研究院（NIST）通过国家漏洞数据库（NVD）对CVE记录进行补充，网络安全与基础设施安全局（CISA）也因NVD资金短缺启动"漏洞增强"计划协助完善记录，但MITRE始终是CVE记录的原始发布者和安全缺陷识别的主要来源。

安全项目Security Errata首席安全官、前CVE委员会成员Brian Martin在LinkedIn警告："若MITRE资金链断裂，将立即引发全球范围的连锁反应——首先，联邦模型和CVE编号机构（CNA）无法再分配ID并提交MITRE快速发布；其次，这直接动摇本已举步维艰的NVD数据库根基（当前积压超3万个未处理漏洞，另有8万个被'暂缓'分析）；再者，所有依赖CVE的厂商需另寻情报源；最后，各国CERT机构将失去免费漏洞情报渠道。"

预算削减背后的政治因素

在持续资助这个备受推崇的项目25年后，DHS突然终止合同的原因尚不明确。有分析指出，特朗普政府通过埃隆·马斯克主导的"政府效能改革"计划大幅削减财政支出，网络安全与基础设施安全局（CISA）成为重灾区——尽管该局已经历两轮裁员，近40%（约1300名）员工仍面临解雇。但知情人士透露，相比联邦政府其他部门的预算削减，维持CVE项目的开支微不足道，"根本不会造成财政压力"。

后续影响与行业应对

接近CVE项目的消息人士称，自4月15日午夜起，MITRE将停止更新漏洞数据库（历史记录仍存于GitHub）。真正的悬念在于私营领域能否出现替代方案。

威胁情报公司VulnCheck研究员Patrick Garrity表示："在NVD数据库去年崩溃后，当前漏洞生态系统本就脆弱。CVE项目若受影响，将对防御者和安全社区造成严重伤害。"该公司已提前预留1000个2025年CVE编号，承诺继续为社区提供服务。

CISA发言人向CSO表示："作为CVE项目主要资助方，我们正紧急采取措施减轻影响，维护全球依赖的CVE服务。"该程序被政府和产业界共同用于披露、分类和共享可能危及国家关键基础设施的技术漏洞信息。