川普大砍行政預算，CVE與CWE專案的合約本周到期

負責管理與維護「常見漏洞披露」（Common Vulnerabilities and Exposures，CVE）資料庫，以及「通用缺陷列表」（Common Weakness Enumeration，CWE）的美國非營利組織MITRE近日傳出，包括這兩項專案的許多專案合約都將在本周三（4/16）到期。外界猜測應是川普大砍美國行政預算所導致。

MITRE負責管理美國政府的6個聯邦資助研究與發展中心（Federally Funded Research and Development Center，FFRDC），從國防、航空、醫療、國土安全到網路/資訊安全，以及自這些中心衍生的各種專案。像是管理資安漏洞唯一識別碼的CVE專案，從1999年上線迄今，已累積超過27.4萬個CVE；或者是專門幫各種漏洞分門別類的CWE專案，於2006年設立，現已統計出超過600個漏洞類別。

在社交媒體上流傳的這一張信件，是由負責美國國土安全部窗口的MITRE主任Yosry Barsoum寫給CVE委員會的，表示包括CVE與CWE在內的多項合約，都將在4月15日到期，倘若CVE服務中斷，可能有多方會受到影響，從國家資料庫、工具供應商、事件回應的操作，到各種關鍵基礎設施等。

資安專家Brian Martin指出，一旦相關預算消失，CVE編號授權單位再也無法分配ID或交予MITRE快速發布，這是美國國家漏洞資料庫（NVD）的基礎，但NVD已積壓了超過3萬個漏洞，全球所有依賴CVE與NVD分析漏洞的公司都將受到劇烈影響。

不管是CVE或CWE專案，都是源自於美國國土安全部的國家網路安全部門所編列的預算，但最近美國總統川普（Donald Trump）大砍行政預算，令這些組織自身難保。根據The Record的報導，美國網路安全暨基礎設施安全局（CISA）正在制定人事刪減計畫，可能會裁撤一半的全職員工跟40%的承包商，波及1,300人。

CSO Online則引述消息來源報導，MITRE從4月15日的午夜開始，就不再於CVE資料庫中添加紀錄，而會轉至GitHub。CISA也向該報表示，雖然雙方的合約即將到期，但他們正在努力減輕影響，以維護受到全球依賴的CVE服務。