美国CISA发布通用漏洞披露 (CVE) 计划愿景

前言

美国网络安全和基础设施安全局（CISA）发布了名为《CISA战略重点：CVE质量，打造网络安全未来》（CISA Strategic Focus CVE Quality for a Cyber Secure Future）的愿景文件。该文件明确了通用漏洞披露（CVE）项目的优化方向和优先事项，旨在满足全球网络安全社区的实际需求。

愿景文件的制定充分汲取了全球合作伙伴的广泛反馈，确立了以“信任、响应速度、漏洞数据质量”为核心的发展主线，标志着CVE项目从聚焦规模扩张的“增长时代”正式迈入以质量提升为核心的“质量时代”。这一转型将对全球网络安全防御体系的构建逻辑和演进路径产生深远影响。

一、CVE通用标准框架

CVE项目已逐渐发展成为全球漏洞识别领域的通用标准框架，成功招募了超过460个CVE编号机构，构建起覆盖全球的漏洞治理协作体系。这一网络的形成，显著提升了全球网络安全社区在漏洞识别、定义和编目方面的整体能力，实现了相关工作效能的指数级增长。

随着全球数字化进程的加速，关键基础设施对网络安全的需求不断升级，单纯依靠规模扩张的发展模式已无法适应当前场景。CVE项目亟须进入以“信任构建、响应能力优化、数据质量提升”为核心的全新发展阶段。

CISA在愿景文件中强调，CVE项目是网络安全领域不可或缺的公共产品，其治理需坚守三大核心原则：一是秉持“无冲突、供应商中立”的管理理念，确保决策和服务不偏向任何特定利益主体；二是广泛开展跨部门协作，吸纳全球网络安全生态中的多元主体参与；三是保障流程透明化和领导责任可追溯。

二、CVE核心原则

同时，CISA重申CVE的核心原则，即必须保持免费且公开可访问的属性。这一原则是全球网络防御协同开展的基础，也是安全工具创新的重要驱动力，能够为全球各行业及政府部门的防御者提供关键支撑。为推动CVE项目平稳步入“质量时代”，CISA明确了以下战略方向，这些方向构成了项目优化的核心行动框架：

扩大社区伙伴关系：

增强CVE项目咨询委员会的生态代表性，确保该委员会涵盖国际组织、各国政府、学术界、漏洞工具提供商、数据消费方、安全研究人员、运营技术行业以及开源社区等多元主体，通过更广泛的协作汇聚全球智慧。

保障政府资助与可持续性：

CISA将持续为CVE项目的基础设施和核心服务提供资金支持，同时响应社区需求，评估多元化的资金来源机制，为项目的长期稳定运行提供财务保障。

推进现代化改进：

加快CVE项目基础设施的现代化升级和增值服务开发，着重提升自动化处理能力，优化CNA服务流程，拓展面向下游数据消费者的API支持功能，同时对CVE.org平台的用户体验和效能进行优化。

强化透明度与沟通机制：

建立常态化的社区反馈渠道，将反馈意见系统地纳入项目路线图决策；定期向全球社区通报项目的里程碑进展和绩效指标，并与全球合作伙伴保持开放、持续的对话，确保信息对称。

提升数据质量：

推动制定CVE记录质量的最低标准，联合行业主体和国际政府构建联邦化机制，拓展漏洞数据丰富化能力（Vulnrichment框架、授权数据发布者（ADP）功能的应用）；同时探索引入自动化技术、机器学习和人工智能，进一步提高CVE数据的准确性和完整性。

CVE项目向“质量时代”的转型，不仅关乎美国本土网络安全防御能力的提升，更会对全球漏洞治理格局产生系统性的影响。随着CVE项目迈入质量提升阶段，全球网络安全社区将逐步搭建起更可靠的漏洞数据基础、更高效的国际协作机制，最终构建起更具韧性的全球网络安全防御体系。