Can We Trust CVE?
a year ago
- #Trust
- #CVE
- #Cybersecurity
- CVE项目遭遇资金危机,由CISA临时提供11个月资助,未来仍存不确定性
- NVD在2024年初停止丰富CVE记录,因缺乏沟通导致信任丧失
- VulnCon会议暴露出CVE领导层在资金危机前就存在应对不足的问题
- MITRE、CISA和CVE在沟通上严重失职,缺乏明确计划和透明度使信任进一步崩塌
- 替代CVE的方案正在涌现,包括OWASP全球漏洞情报统一框架和EUVD
- GCVE和CVE基金会等其他倡议也存在信任度参差及透明度问题
- 公共机构的信任需建立在透明基础上——当前CVE利益相关者未能吸取这一教训
- 漏洞管理的未来可能属于具有明确治理机制的去中心化开源解决方案