欧盟推出本土漏洞数据库,替代美国主导的 CVE 系统
- 浏览次数 874
- 喜欢 0
HackerNews 编译,转载请注明出处:
欧盟全新的全球漏洞编号分配系统正式上线运行。该系统为欧洲网络安全从业者提供了一个替代方案,以应对美国主导的 CVE 项目可能因资金不足而停摆的潜在风险。
该漏洞预警数据库项目,自 2025 年 4 月启动筹备,并于同年 5 月与欧盟漏洞数据库(EUVD)一同对外公布,最终在 2026 年 1 月 7 日正式面向公众开放。
该系统的核心目标是终结欧洲对美国漏洞数据库的依赖,强化欧洲数字主权。
Closed Door Security首席执行官威廉・赖特表示,GCVE 项目的落地,无论对欧盟本土还是全球的科技与网络安全行业而言,都是一项积极举措。
他指出:“倘若美国政府运营的 CVE 项目突然终止,整个行业将陷入混乱…… 公共与私营部门会因急于寻找替代方案而陷入信息盲区,这将给威胁攻击者留下巨大的可乘之机。”
赖特补充道:“尽管我们期望 CVE 项目能够持续运营,但拥有一个替代方案,将从整体上提升网络与科技领域的抗风险能力。”
对标米特雷 CVE 系统的去中心化替代方案
面向公众开放的 GCVE 系统,是由卢森堡计算机事件响应中心主导推出的去中心化漏洞追踪平台。
据 GCVE 官网介绍,这个以漏洞编号分配为核心的框架,最大的独特性在于它是真正意义上的“社区驱动型项目”。该平台整合并关联了来自 25 个公共数据源的漏洞信息,其中就包括米特雷公司运营的 CVE 项目。
官网指出:“通过整合来自去中心化发布方及现有漏洞数据库的数据,GCVE 有助于减少漏洞信息碎片化问题,提升全球漏洞态势的整体可见度。”
安全分析人士表示,欧盟推出这一系统,也是为了降低单一全球漏洞基础设施依赖所带来的风险。
整合 25 个公共数据源的 GCVE 平台
赖特进一步提及,外界对现有 CVE 项目的漏洞收录效率的担忧正在不断加剧。
他表示:“目前有大量漏洞等待在 CVE 平台上进行集中验证和收录,部分观点认为,米特雷公司已难以跟上当代威胁环境的演变速度与规模。”
赖特解释称,这款全新的去中心化系统设计之初就考虑了与 CVE 系统的交叉兼容性——“它能够整合并标准化来自多个数据源的信息,授权指定的 GCVE 编号机构(GNA)自主完成漏洞信息的记录与发布,无需经过中央机构审批。”
他补充道:“我们期望这一机制能够加快漏洞信息的记录流程,提升流程的稳健性,帮助政府与企业更快速地应对高危安全威胁。”
资金担忧催生欧洲自主方案
尽管欧盟漏洞数据库已在欧盟网络安全局的推动下研发近一年,但 GCVE 与 EUVD 两大数据库几乎同期落地,这一时间节点并非偶然。
2025 年 4 月 16 日,美国国土安全部在最后时刻才续签了美国本土 CVE 项目的资金,这一举措引发了全球首席信息安全官的恐慌 —— 他们高度依赖这个实时更新的数据库来保障自身机构的安全。
美国国家标准与技术研究院主导的行业标准漏洞编号项目,是由联邦政府资助、米特雷公司负责运营的项目。米特雷是一家非营利网络安全机构,总部位于华盛顿特区郊野及马萨诸塞州。
通用漏洞披露
CVE 数据库通过集中化管理,对已公开披露的安全漏洞进行识别、定义与分类编目,帮助信息技术团队及时掌握高危威胁动态及相应的修复方案。
这套统一的漏洞编号规则、严重程度分级标准以及详细的漏洞描述,能够助力各类机构及全球各地的从业者,实现专业技术信息的高效互通。
正因如此,为避免未来可能出现的服务中断风险,欧洲网络安全领域的负责人决定开发自主的替代系统。
除了支持批量开放数据下载及离线分析外,这个由欧盟资助的数据库还设立了专属的GCVE 编号机构。这些机构 “有权自主分配和发布漏洞标识符,同时通过通用协议与最佳实践,确保与其他系统的互操作性”。
兼容性问题仍存争议
不过,尽管 GCVE 系统有助于降低全球对美国 CVE 项目的依赖,Talion威胁情报主管娜塔莉・佩奇指出,欧盟的这套数据库系统 “应致力于实现与美国 CVE 项目的兼容,采用相似的术语体系与评级标准”。
她强调,该系统的目标 “不应是给各机构的漏洞追踪工作造成困扰,或是导致与 CVE 体系的脱节”。
GCVE 的定位并非彻底取代米特雷的 CVE 项目,而是在未来若因资金问题或政治因素,导致全球漏洞追踪服务面临中断风险时,为欧洲提供一个备选方案。
GCVE 官网表示:“通过授权 GNA 及其他发布方自主贡献数据,同时实现全球范围内的数据关联,GCVE 旨在减少漏洞管理体系中的单点故障,推动漏洞管理领域的创新发展。”
消息来源:cybernews;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文