CISA 在最后一刻延长 Mitre CVE 合同

快速阅读: 据《计算机周刊》称，美国网络安全与基础设施安全局（CISA）最后一刻延长了与MITRE的CVE项目合同，避免服务中断。CVE对全球网络安全至关重要，但其未来曾引发担忧。MITRE警告合同到期会影响全球安全标准并增加风险。一群专家为此成立新非营利组织保障项目独立性。

在美国网络安全与基础设施安全局（CISA）的最后一刻，他们延长了与由MITRE运营的通用漏洞披露（CVE）项目的合同。这一合同是全球安全专业人士依赖的重要资源，用于保持对最新公开安全漏洞的了解。本周早些时候，来自MITRE的约斯里·巴萨姆泄露的一封信引发了对CVE项目未来的疑虑。他在信中警告说，非营利组织运行该计划的合同路径将在24小时内到期。巴萨姆指出，如果服务中断发生，该项目将面临多重影响，包括“国家漏洞数据库和公告、工具供应商、事件响应操作以及各类关键基础设施的退化”。这一消息在全球范围内引起恐慌，安全专业人士正在为行业的巨大变化做准备，这是由于MITRE所称的“基础支柱”被移除。

合同延期协议在周二晚间达成，但直到周三早晨才逐渐传出消息。CISA发言人表示：“CVE项目对网络社区至关重要，也是CISA的优先事项。昨晚，CISA执行了合同的选择期，以确保关键CVE服务不会中断。我们感谢合作伙伴和利益相关者的耐心。”CISA还确认，合同延期将持续11个月。《计算机周刊》联系了MITRE以获取更多评论，但该组织在截稿时尚未作出回应。

这次勉强避免的中断发生在网络安全社区全力应对金融动机和国家级威胁行为者带来的大量威胁之际。与此同时，行业必须面对美国政府范围内的大规模削减的影响。这些削减正在打击美国各州的网络安全机构，包括国土安全部（DHS）和CISA本身，后者隶属于DHS。据报道，CISA可能会减少三分之一到90%的员工，这将对该机构保护美国政府机构和关键基础设施免受网络威胁的能力产生重大影响，并且在国际上，对其与英国国家网络安全中心（NCSC）等合作伙伴机构的合作能力也会产生影响。CISA还在接受对其过去六年的全面审查，重点是其行为可能违背特朗普总统于1月20日签署的第14149号行政命令中确立的目的和政策的情况，该命令标题为“恢复言论自由并结束联邦审查”。这项审查伴随着对前CISA负责人克里斯·克雷布斯的更深入调查，上周特朗普撤销了他的联邦安全许可以及他当前雇主SentinelOne的安全许可，令许多人感到困惑。克雷布斯在2020年底被CISA解雇，因为他反驳了特朗普关于总统选举被乔·拜登操纵的说法。克雷布斯和CISA坚持认为没有证据表明存在任何干扰。

了解更多关于这个故事的信息。MITRE，作为世界著名的CVE存储库运营商，警告称其即将到期的美国政府合同将对全球网络安全标准有重大影响，并增加威胁行为者带来的风险。一组漏洞专家和MITRE现有CVE委员会成员成立了一家新的非营利组织，旨在保障CVE项目的未来并确保其独立性。

(以上内容均由Ai生成)