欧洲版CVE上线，EUVD释放漏洞治理新信号

为落实《网络与信息安全指令2》（NIS2），欧洲网络与信息安全局（ENISA）正式推出“欧洲漏洞数据库（EUVD）”，作为欧盟范围内统一的漏洞信息共享平台，该数据库面向政府、私营企业、ICT供应商及安全研究人员等开放访问。

ENISA表示，EUVD致力于构建一个多源信息高度互联的平台，整合来自成员国CSIRT（计算机安全事件响应团队）、软件厂商及全球既有漏洞数据库（如MITRE的CVE系统）等多个渠道的漏洞信息。

目前，EUVD提供三类仪表盘视图：

每条漏洞记录均包含漏洞描述、受影响产品与服务、漏洞等级、利用方式，以及可用的修复或缓解方案。

EUVD的推出恰逢全球核心漏洞编号系统CVE（Common Vulnerabilities and Exposures）陷入运营危机。CVE项目由美国MITRE机构维护，数周前因联邦资助即将终止，一度面临停摆风险。尽管美国网络安全与基础设施安全局（CISA）随后提供了为期11个月的紧急资金支持，但事件已暴露出全球对单一漏洞系统的高度依赖。

CVE项目的志愿者董事会已启动独立融资计划，并正在推动治理结构改革。前CISA“已知漏洞清单”负责人Beardsley表示：“这场危机让我们意识到，CVE的未来必须更加开放与多元。”

MITRE方面也已确认，未来可接受非美国政府的资助来源，为项目可持续发展提供了政策空间，但其前景仍充满不确定性。

尽管EUVD采用独立编号体系，但ENISA已明确将其与CVE编号实现映射关联，确保与现有漏洞生态系统的协同。ENISA强调，EUVD的目标并非取代CVE，而是构建补充机制，增强漏洞生态体系的风险抵御力。

Legit Security首席技术官Joe Nicastro在接受媒体采访时指出，EUVD筹备已久，而CVE项目的资金动荡无疑加速了其落地进程。“对于欧盟而言，减少对单一系统的依赖不仅是主权考量，也是在现实层面上的明智决策。”

Nicastro还透露，自己曾在RSAC大会上与ENISA首席运营官Hans de Vries就此进行交流，对方明确表示EUVD将与CVE和CWE生态系统保持紧密协作，以实现能力互补。“他们并未片面追求独立编号，而是以互通为前提，保障实际可用性。”

目前ENISA本身也是CVE项目授权的CNA（CVE Numbering Authority），具备为欧盟CSIRT体系所发现的漏洞分配CVE编号的资质。未来EUVD编号与CVE编号如何分工，目前尚未有明确机制公布。

ENISA计划在2025年持续推进EUVD平台能力建设，广泛吸纳社会反馈，不断优化功能与数据结构，以应对漏洞数量的指数级增长及软件开发模式的加速变化。

Contrast Security首席技术官Jeff Williams指出：“随着开发节奏加快、漏洞数量激增，单一平台难以承载全部治理需求。EUVD的上线为漏洞生态系统带来新的冗余结构，有助于增强整个行业的可持续性。”

他补充道：“在快速开发（vibe coding）时代，企业更需依赖多个来源的数据验证机制，能否准确追踪并及时响应漏洞，将成为网络安全的核心竞争力。”

EUVD的正式上线，标志着欧盟在漏洞治理与数字安全自主能力建设上的关键跃进。该项目不仅回应了当前CVE计划面临的不确定性，也展现了欧盟推动网络安全战略自主与韧性构建的前瞻性思维。

未来，随着更多漏洞数据库之间的数据交互与协同机制建立，全球漏洞披露与管理体系或将迈向多源互补、协同治理的新格局。

消息来源：

https://www.helpnetsecurity.com/2025/05/14/enisa-european-vulnerability-database-euvd/