美國網路安全暨基礎設施安全局(CISA)在最新發布的策略文件中,確認對通用漏洞披露(CVE)計畫的持續支持,並概述該計畫在「品質時代」的未來發展藍圖。
評估多元經費來源機制
CISA 於 9 月 10 日發布「網路安全未來的 CVE 品質」策略文件,此時距離該機構在今年 4 月決定將 MITRE 合約延長 11 個月已過了近半年。該延長合約確保 CVE 計畫資金支援將持續到 2026 年 3 月。
文件特別強調,CVE 計畫應維持公開管理及廠商中立立場,並指出將其私有化會「削弱其作為公共資源的價值」。不過,CISA 也承認需要在計畫中扮演更積極的領導角色,並增加資源投入。
針對社群成員要求 CISA 考慮替代資金來源的呼聲,CISA 已承諾正在評估「多元化資金的潛在機制」。
擴大跨領域參與層面
CISA 策略文件強調,CVE 計畫未來需建立透明的流程和問責機制,並擴大跨領域參與。
CISA 計劃運用合作夥伴關係,確保更多元的代表性,涵蓋國際組織、政府、學術界、資安漏洞工具提供者、資料使用者、資安研究人員、營運技術(OT)產業和開源社群。
CISA 於今年 5 月推出的「資安漏洞資料強化計畫」(Vulnrichment program)可作為多元參與的典範。該計畫在彌補美國國家漏洞資料庫(NVD)不足方面發揮關鍵作用。NVD 是由美國國家標準與技術研究院(NIST)管理的下游漏洞揭露平台,過去一年半持續面臨經費短缺與人力不足問題。
CISA 已啟動多項計畫擴大 CVE 貢獻者範圍,包括在今年 7 月成立新的 CVE 論壇和工作小組,特別是 CVE 使用者工作小組(CWG)和 CVE 研究人員工作小組(RWG)。
現代化發展路線圖
CISA 策略文件概述 CVE 計畫未來現代化願景,涵蓋三類關鍵角色:
- CVE 編號授權機構(CNA)
- 備援單位:負責指派 CVE 識別碼並發布不在其他 CNA 範圍內的資安漏洞紀錄
- 授權資料發布單位(ADP):專責為現有漏洞紀錄資料的組織
主要發展目標包括:
- 優先推動自動化功能快速實施,改善 CNA 服務、擴展 API 支援,並強化 CVE.org 網站
- 透過實施新的最低標準提升資安漏洞資料品質,開發合作機制擴大資料豐富化規模
- 提升最後手段 CNA 的透明度、可見性、回應速度和資料豐富化
- 蒐集社群反饋並納入計畫路線圖決策
- 定期公布計畫里程碑和績效指標
- 主動與全球合作夥伴交流對話
從「成長」邁向「品質」
此文件正式確立 CVE 計畫「成長時代」與即將到來「品質時代」的分野。根據 CISA 說法,CVE 成長時代「成功招募超過 460 個 CVE 編號授權機構組成的全球網絡,使網路安全社群在識別、定義和建檔數十萬個資安漏洞的能力達到指數級成長」。
然而,該計畫現在必須演進以「滿足全球網路安全社群需求」。因此,CVE 計畫需轉向新發展重點,特別是提升信任度、加快回應速度並強化資安漏洞資料品質。
這種轉變並非新概念。去年 9 月,時任 CISA 資安漏洞應變與協調品牌主管 Lindsey Cerkovnik 曾表示:「過去八到十年間,CVE 計畫處於成長時代,主要致力於增加 CNA 數量和資安漏洞揭露數量。現在我們正進入品質時代,專注於提升資料品質,改善整個生態系統。」
CISA 執行副主任 Christopher Butera 在今年 8 月美國黑帽資安大會演講時也呼應這個觀點,強調資安漏洞揭露過程需要更多自動化機制:「我們必須在整個生態系統建置自動化功能,加速漏洞修補流程。現在我們正從成長時代邁向品質時代。」
本文轉載自 InfosecurityMagazine。