作者:总体技术部 林涛
近日,美国网络安全和基础设施安全局(CISA)发布了《CISA战略重点:面向网络安全未来的CVE质量提升路线图》(CISA Strategic Focus: CVE Quality for a Cyber Secure Future,以下简称《路线图》)。该路线图明确了CVE计划在未来发展中的优先事项,旨在进一步提升该计划对全球网络安全社群需求的支持能力。
一、发布背景
美国将漏洞管理作为网络安全的重点工作之一,此前发布的一系列漏洞相关政策法规,系统性地构建了其国家层面的漏洞管理能力与责任制度框架。进入2025年以来,也在持续完善漏洞相关的法规政策体系。
- 2021年5月,由美国总统签署《关于改善国家网络安全的行政命令》(14028号行政令)。该行政命令强力推动了联邦政府在漏洞管理上的现代化进程,明确要求联邦政府推动建立漏洞漏洞赏金计划等,旨在从源头加强软件供应链安全并加速漏洞的发现与修复。
- 2025年3月,美众议院通过《2025年联邦承包商网络安全漏洞消减法案》(FederalContractor Cybersecurity Vulnerability Reduction Act of 2025, as amended)。旨在通过管理和预算办公室(OMB)及国防部(DoD)的行动,防止因联邦承包商带来的网络安全漏洞。
- 2025年5月,美国网络安全与基础设施安全局、美国国家标准与技术研究院发布了《可能被利用的漏洞:漏洞利用可能性的拟议指标》(LikelyExploited Vulnerabilities, A Proposed Metric for Vulnerability Exploitation Probability)。该文件提出了一种名为LEV(Likelihood of Exploited Vulnerabilities)的新型安全指标,旨在通过数学模型量化漏洞被利用的累积概率,以优化漏洞修复优先级。
二、重点内容梳理
1、战略转变
该路线图标志着美国在漏洞治理领域从从以规模增长为主的阶段正式转向以质量提升为核心的新阶段。这一战略重点将有助于增强信任、提高响应能力并提升漏洞数据的质量。路线图及其优先事项的制定,将继续基于CISA从广泛的国内外合作伙伴处收集的反馈意见,并结合该机构多年来对CVE项目的支持经验。
2、核心原则
CISA认为,CVE计划必须致力于实现无冲突且供应商中立的管理机制,推动广泛的多方参与,确保流程透明,并落实负责任的项目领导。CISA承诺将维护CVE计划的核心原则:CVE数据必须保持免费、公开访问,作为一项公共产品服务于网络防御协调,促进安全工具创新,并为全球行业与政府的安全防御者提供支持。
3、重点方向
CISA对CVE计划未来的愿景包括以下5个重点方向:
一是拓展社区合作伙伴关系:CISA将借助合作伙伴网络,增强国际组织、政府机构、学术界、漏洞工具提供商、数据消费者、安全研究人员、运营技术及开源社区等多方代表的参与度。
二是政府持续支持:作为关键公共产品,CVE计划的基础设施与核心服务需要CISA持续投入资源。CISA正在评估多元化资金机制的可能性,以回应社区的相关建议。
三是推进现代化进程:CISA将加快技术改进措施的实施步伐。
四是提升透明度与沟通效率:CISA将积极吸纳社群反馈,将其纳入路线图决策,并与全球伙伴保持定期沟通与互动。
五是提高数据质量:CISA将与行业及国际政府合作建立新的标准化机制,包括扩展漏洞数据丰富化(如漏洞信息增强)的联合机制,并扩展授权数据发布者(ADP)职能。
三、影响分析
《路线图》的发布,将进一步明确美国漏洞管理政策目标走向,对其他国家和地区或将产生一定示范引领。CVE计划被美国视为“关键性的全球网络防御框架和全球网络防御基石”,已成为全球广泛应用的网络安全公共产品之一。过去一段时期是CVE计划的快速发展阶段,其重要成果之一是成功组建了由460多个CVE编号机构(CNA)构成的广泛全球网络。