CVE雖然生的偉大但已落後太多 原因竟然是……

批評者認為，MITRE管理的通用漏洞與暴露(CVE)項目，已遠不能實現其分類並識別所有已知漏洞的使命。CVE擁護者稱，新模型正彌補該差距。

CVE無疑是個偉大的概念：公開發布軟體或固件中所有已知漏洞的「字典」，供公司企業查詢自身面臨風險。然而，在非營利研發組織MITRE發起該項目18年後，關於其效果，有了很多爭議。

在各處公布的所有漏洞中，商業資料庫目前跟蹤到了約80%，CVE在60%到80%之間。於是做風險決策的時候，盲區有50%左右。這是很嚴重的缺失，而且由於組成物聯網的設備和隨之而來的漏洞持續爆炸式增長，情況只會越來越糟。

「

CVE的識別與分類已落後太多太多。

——約書亞·科曼 大西洋理事會網路國策倡議理事

在去年9月的一篇文章中，CSO在線高級撰稿人史蒂夫·雷根表示：「CVE系統遭遇了瓶頸和覆蓋面空白，數千漏洞未分配CVE編號。這些空白將企業領導人和安全團隊暴露給諸多漏洞，讓他們依賴CVE編號才能起效和評估風險的安全產品甚至不知道這些漏洞的存在。」

糟糕的是，CVE董事會的幾位成員——包括來自網路安全社區不同部分的25人，同樣持批評態度。

目前有52,913個漏洞沒有CVE編號，缺失的數量占被分類總數158,413的33%。然而，該百分比的改善，卻是以準確性和質量為代價的。因為缺乏關鍵細節，同時未包含有所幫助的參考資料，有些CVE描述對消費者基本沒用。因此，想要從CVE編號中獲益，消費者不得不做更多的工作，試圖理解該問題。MITRE在其分配和抽象規則上也經常反覆。有些時候給一組問題分配了太多ID，有些時候連年份編號都搞錯了。

CVE的滯後甚至驚動了美國國會。眾議院能源和商業委員會主席，及其下屬委員會3名委員，在3月30號給負責管理CVE的MITRE致函。為MITRE提供資金的國土安全部(DHS)建議，MITRE應預測漏洞發展態勢，並詢問了MITRE對CVE滯後問題的打算。

發給MITRE的信函中稱：「與CVE項目短板相關的聯網設備和服務的爆炸式發展，雖然很快，卻並非一夕之功。有鑒於此，我們希望了解MITRE和CVE項目在預測和應對該發展上失敗的原因，以及為確保該項目更有效服務其基本使命，還有什麼可以做的。」

儘管想要了解詳情，但目前委員會明顯不想公眾得知內情——雖然該項目也是納稅人的錢支持的。去函要求在4月13日前回復，但委員會至今未透露任何與MITRE或DHS聯繫的進一步信息。委員會發言人丹·施耐德稱MITRE已回復，但他拒絕討論任何與該項目相關問題。

DHS公共事務辦公室的露西·馬丁內茲稱：「我們不對國會通信聯繫做任何評論，將直接答覆國會議員。」她甚至未回應查看MITRE回復的簡單要求。另外，無論MITRE還是DHS，都拒絕說出該項目每年經費開銷數額。雷根報出的數字，只是2006年的120萬美元。

關於數千漏洞沒有CVE編號的投訴，MITRE發言人珍妮弗·朗稱：「CVE項目只對MITRE感知到，且符合漏洞定義的100%漏洞分配編號。網路生態系統中確實有未知數量的漏洞可以分配編號。問題在於，因為這些漏洞沒有報給CVE項目，我們無法量化其比例。統計漏洞的方法不唯一，也沒有全球公認的方式，不同組織對漏洞的定義和統計是不一樣的。」

這讓馬丁十分困擾：「鑒於CVE項目的本質，我真心認為MITRE的響應應該公開。他們所謂的CVE『利益相關者』，或者我認為的『消費者』，應了解MITRE準備怎麼解決這些問題。」

然而，該項目擁護者稱，情況正在變好，過去15個月以來一直在改善。他們將這一改善歸功於所謂的「聯合系統」——招募了62家CNA（CVE編號機構）之類的組織來發現新漏洞並分配ID編號。

肯特·蘭德菲爾德，邁克菲首席標準與技術策略師，CVE董事會創始會員，承認MITRE不堪漏洞「爆炸」重負。他說，問題在2016年1月浮出水面，社區、董事會和MITRE出現了分歧。此後，事情就向著正確的方向發展了。雖然過去MITRE大權在握，不願引入新的CNA，他們如今開始了聯合模式。某種程度上這還只是個實驗，但確實從2016年3月開始了。

目的就在於，將CVE編號負擔分擔給負責不同門類CVE的「根」CNA。

其中一個例子，是分散式弱點歸檔(DWF)項目——負責查找並識別開源軟體中漏洞的項目。其他CNA——微軟、評估和谷歌之類的大公司，識別並分類在其產品中找到的漏洞。

蘭德菲爾德稱，底線是「我們設置一個能擴展的機制——得是可持續的。而這也正是當前正在發生的。」

庫爾特·謝福瑞德，DWF項目總監，紅帽產品安全高級軟體工程師，CVE董事，對此表示認同。彌補CVE空白的方法很簡單：加入更多CNA拓展CVE。

「

這意味著要建立一個類似DNS（域名系統）的監管模型——MITRE是根，DWF是所有開源產品的次根，微軟是所有微軟產品的次根，諸如此類，每個國家/行業垂直分類都有各自的CNA層級分管。該操作模型更加點對點，CNA按需聯繫彼此。

謝福瑞德指出，自聯合模型啟動，「我們就倍增了CNA數量，2016年便分配了1萬多個CVE編號。我們還在自動化和其他自服務風格方面做出了努力，以持續推進該過程來滿足需求。」

朗補充稱，「聯合」模式開啟時，CNA數量僅為22，自那之後，增加了40個，且新CNA候選人持續進入視野。

於是，這是否意味著，儘管問題仍在，但情況正朝著逐漸解決的方向走呢？阿爾特·曼寧，卡耐基梅隆大學軟體工程學院CERT部門漏洞分析技術經理，另一CVE董事，對此持謹慎樂觀態度。謹慎，因為他認為馬丁的部分批評是對的——雖然差距大小仍有爭辯可能，但無論以何種標準衡量都「十分巨大」了，而且，當前模式下確實不可能跟上IoT帶來的漏洞大爆發。

每年分配1萬到1.4萬個漏洞編號根本是低了一個數量級。該問題已經超出了人力範疇，只有用自動化來解決。但因為曼寧本人就是致力於將自動化引入編號分配過程的CVE董事會工作組成員之一，他對CVE也持有樂觀態度，「有跡象表明聯合系統在起作用，雖然現在下結論還為時過早。」

馬丁認為，長期的成功還取決於做好基礎工作。「MITRE用了太多納銳人的錢在行政管理位置上，而不是將資金更多地投入到直接支持該資料庫的人身上。」

喜歡這篇文章嗎？立刻分享出去讓更多人知道吧！