在过去的几天中,欧盟在计算机脆弱性管理方面拥有自己的公共基础。该平台清醒地称为EUVD(欧洲脆弱性数据库),该平台现在完全运行,打算在关键故障上提供真实的时间可见性,并在数字系统中积极利用。如果它的发射是欧洲监管加强的一部分,即在网络安全方面(指令NIS2),它主要是在削弱美国CVE的背景下,到目前为止,该问题的全球参考。
对治理缺陷的结构反应
欧盟网络安全局(ENISA)于2024年6月宣布了EUVD基地。其目标是通过一个为成员国和私人参与者的仪表板来提高脆弱性待遇,脆弱性治疗方面提高透明度,协调和反应性。特别是,它可以实时遵循关键漏洞,验证其剥削状态并直接访问建议的缓解措施。
这项倡议是欧洲渴望加强自身能力的愿望的一部分,而美国的网络安全技术治理却大大削弱了其技术治理。在CISA的支持下,在历史上管理的常见脆弱性和展览计划(CVE)已经看到其资金受到了多次威胁。在4月底,它的维护仅在不确定性的气氛下才能在极端情况下保证。
转向规范平衡
二十多年来,CVE已将自己确立为脆弱性管理的全球参考。每个关键缺陷在那里收到了标准化的标识符,该标识符集成到NVD基础(国家漏洞数据库)中,可供公众访问。该系统允许出版商,研究人员,政府和企业之间的流体协调。
但是几个月来,该模型显示出出版延迟,融资困难,更新放缓以及最近在CISA网站上删除公共警报的迹象。从现在开始,这些将由RSS Feed或通过社交网络X传达,这一变化质疑了美国政府对保持持续透明度的承诺。
在这种部分空虚中,欧盟已经采用了另一种方法,更加融入了其机构及其主权的要求。 EUVD还结合了CVE标识符,但将它们与干净的存储库相关联,从而加强了几种标准的同居。
朝着全球归一化的分散化?
股份超出了运营效率。竞争漏洞的几个基础的出现最终可能会构成互操作性问题,尤其是对于国际运营的公司而言。如果ENISA暂时仍然是CVE编号机构(CNA),能够在CVE系统的框架内生成标识符,它承认它在2025年3月以外的美国计划的演变(CISA与MITER之间的当前合同的结束日期之后)都没有可见性。
最终,NVD基础(EUVD)的平行存在,以及中国标准(例如CNNVD(中国国家脆弱性数据库)),可能会重新绘制网络治理的断裂线,并有可持续的实践和工具分裂的风险。
主权问题,但也是可读性的问题
技术问题的背后隐藏了战略维度。能力 我现在,绘画,分类和治疗漏洞现在构成了主权能力,就像保护关键基础设施或网络监视一样。欧盟似乎想通过创建自己的标准来承担这一责任,而不是依赖外国基础设施。
