歐盟漏洞資料庫專案EUVD正式登場

歐盟網路安全管理署（European Union Agency for Cybersecurity，ENISA）周一（5/13）宣布，歐盟漏洞資料庫（European Vulnerability Database，EUVD）已正式上線，這是一個互連資料庫，目標是確保來自不同來源的公開漏洞資訊得以互通，同時採用CVE（Common Vulnerabilities and Exposures，常見漏洞披露）編號與EUVD編號。外界則將它視為美國CVE資料的替代品。

最近漏洞資料庫特別受到矚目，是因為原本受到全球仰賴的CVE資料庫傳出可能停擺的消息，主要是美國總統川普（Donald Trump）大砍行政預算，使得美國國土安全部未能與負責維護CVE資料庫的非營利組織MITRE續約，雙方合約的到期日為4月16日。

CVE最初的設計目的是成為全球安全漏洞的唯一編號，並由CVE編號機構（CVE Numbering Authority，CNA）負責分配，全球約有來自39個國家的353個CNA，像是Adobe、蘋果、Amazon、Google、微軟或眾多資安業者都有權分配CVE，而ENISA也在2024年1月成為CNA。

此外，其實ENISA在歐盟網路與資訊安全2指令（Network and Information Security 2 Directive，NIS2）的要求下，已於去年6月著手開發EUVD，只是一直到CVE出現可能不穩定的訊號才加快腳步，於今年4月展開封閉測試，本月正式上線。

至此，EUVD所扮演的角色也從著重於歐盟地區擴大到全球。ENISA說明，EUVD的目標是確保各國的電腦資安事件應變小組（Computer Security Incident Response Team，CSIRT）、供應商與現有漏洞資料庫等不同來源的資訊能夠互連與互通，採用可管理及查詢多個來源之漏洞資訊的Vulnerability-Lookup開源軟體，來促進漏洞的關聯性，以強化網路安全風險管理。

EUVD提供3種檢視儀表板，一是CVSS風險評分超過9的重大（Critical）漏洞，二是已被利用（Exploited）的安全漏洞，三則是來自EU CSIRT協調的安全漏洞，此外，EUVD不僅採用CVE編號，每個CVE編號還會有相對應的EUVD編號。

ENISA解釋，EUVD編號是建立在CVE編號系統之上，如果某個漏洞已符合CVE的編號範圍，就會採用CVE編號，而EUVD則是用來整合並強化漏洞資訊。

從另一個角度看，這或許是因為CVE編號是由美國MITRE及CNA網路管理，EUVD則是由歐盟管理，確保歐盟的數位主權；此外，有些漏洞不屬於CVE的收錄範圍，但可能會被列入EUVD；歐盟也可能需要透過EUVD收錄與追蹤來自歐盟成員國，或者是對歐盟影響重大的安全漏洞。

ENISA表示，該組織正與MITRE聯繫，以了解有關CVE的後續發展與影響，而且不管是CVE資料，或是由ICT供應商所提供的資料，都會自動轉移至EUVD。