HackerNews 编译，转载请注明出处：

MITRE 推出了一个新的网络安全框架，旨在解决加密货币等数字金融系统中的漏洞。

...

HackerNews 编译，转载请注明出处：

非营利组织MITRE公司表示，美国政府资金的不确定性可能导致通用漏洞和暴露（CVE）计划的中断和“恶化”。

在写给CVE董事会的一封信中，MITRE公司国土安全部中心的副总裁兼主任Yosry Barsoum表示，与美国政府管理该计划的合同将于4月16日到期，而后续资金尚未确定。

“2025年4月16日星期三，MITRE开发、运营和现代化CVE及其他相关计划（如CWE）的现有合同途径将到期。政府仍在努力延续MITRE在支持该计划中的角色，”Barsoum解释说。

他警告说：“如果出现服务中断，我们预计CVE将受到多重影响，包括国家漏洞数据库和公告的恶化、供应商响应速度减慢、应急响应能力受限，以及对各类关键基础设施的影响。”

CVE计划旨在编目公开披露的网络安全漏洞，是漏洞披露和记录流程中的重要组成部分，被黑客、供应商和组织广泛用于分享关于网络安全风险的准确和一致信息。

该计划由非营利组织MITRE公司维护，该公司运营联邦研发中心，资金来源多样，包括美国政府、行业合作以及国际组织的支持。

本月早些时候，鉴于美国政府资金削减的预期，MITRE在其弗吉尼亚州办公室裁员超过400人。此前，特朗普政府宣布取消该公司价值超过2800万美元的合同。

关于CVE计划资金的担忧，正值美国国家标准与技术研究院（NIST）仍在努力清理国家漏洞数据库（NVD）中不断增加的CVE积压之际。

据NIST称，尽管国家漏洞数据库（NVD）处理新CVE的速度与2024年春季和初夏放缓之前相同，但去年提交量增加了32%，导致积压问题仍在加剧。

“我们预计2025年的提交量将继续增加，”该机构表示，并指出正在探索使用人工智能和机器学习技术来自动化某些处理任务。

积压问题已经在漏洞管理领域显现，NVD数据被视为事实来源，需要持续对数据进行分类和丰富。

如果没有更快地处理漏洞数据，报告问题与可操作情报之间的差距将扩大，这将给依赖及时信息来保护系统的组织带来严重问题。

NIST解释说，NVD现有的工作流程和数据摄取系统是为较低的CVE提交量设计的，过时的格式和手动丰富程序造成了严重的瓶颈。

MITRE公司和美国网络安全和基础设施安全局(CISA)近日发布了基于开源平台Caldera的OT网络攻击模拟平台——Caldera for OT，该平台可模拟针对运营技术(OT)的对抗性攻击。

...

MITRE组织分享了2022年最常见和最危险的25个弱点名单，该名单可以帮助企业评估企业基础设施的安全情况，MITRE表示：“如果企业的基础设施涉及相关的漏洞弱点，就可能受到未知黑客的攻击。”
“软件弱点往往都很容易被针对，并最终会导致可利用漏洞的产品，从而让对手完全接管系统、窃取数据或让业务停摆。”MITRE在发布的公告中写道。
据悉，MITRE综合过去NIST、NVD数据，结合CVE与NVD的数据库中的危害性评分，统计了名单列表。
以下是2022年CWE前25个最危险的软件弱点名单: