歐盟漏洞資料庫EUVD上線，儀表板可快速檢視9分以上重大漏洞、新遭利用漏洞

歐盟網路安全管理署（ENISA）在5月13日宣布，歐盟漏洞資料庫EUVD正式上線，全名是European Vulnerability Database，這是一個互連資料庫，目標是確保來自不同來源的公開漏洞資訊得以互通，同時採用CVE編號與EUVD編號。這意味著，資安人員日後要查找漏洞資訊，除了可以透過原有的美國漏洞資料庫（NVD），現在也能透過ENISA的EUVD網站來查找。

近期漏洞資料庫的消息之所以特別受到資安界關注，是因為原本受全球仰賴的CVE資料庫傳出可能停擺的消息，主要是美國總統川普大砍行政預算，使得美國國土安全部，未能與負責維護CVE資料庫的非營利組織MITRE續約，雙方合約的到期日為4月16日，幸好後續由美國網路安全暨基礎設施安全局（CISA）提供資金。

類似美國NVD漏洞資料庫，確保歐盟的數位主權

具體而言，CVE計畫是從1999年啟動，其設計目的就是提供全球安全漏洞一致的編號，不只MITRE可以分配CVE漏洞編號，身為CVE Numbering Authority（CNA）計畫的成員也能指派，涵蓋全球來自39個國家的353個CNA成員，當中不僅包括蘋果、Amazon、Google、微軟或眾多資安業者，臺灣也有TWCERT/CC與12家廠商成為CNA，而歐盟ENISA亦於2024年1月成為CNA。

特別的是，ENISA在歐盟網路與資訊安全2指令（NIS2）的要求下，從去年6月著手開發EUVD，類似於美國的國家漏洞資料庫（NVD）。

直到最近MITRE維運CVE出現狀況，才加快EUVD項目腳步，於今年4月展開封閉測試，5月正式上線。至此，EUVD所扮演的角色也從著重歐盟地區擴大到全球。

ENISA說明，EUVD的主要目標，是匯集並確保來自多個來源的公開漏洞資訊可以互通，包括國家電腦安全事件應變小組（CSIRT）、廠商以及現有資料庫的內容。而為了實現更好的漏洞資訊管理與分析，EUVD表示當中採用Vulnerability-Lookup開源軟體，以協助漏洞的關聯性查找，從而強化網路資安風險管理。

從EUVD漏洞資料庫的首頁介面來看，我們即可看到提供了3種類型資訊的儀表板，第一，是CVSS風險評分超過9分的重大漏洞；第二，是已被利用（Exploited）的漏洞；第三，是來自EU CSIRT協調的安全漏洞。此外，EUVD不僅採用CVE編號，每個CVE編號還會有相對應的EUVD編號。

ENISA解釋，EUVD編號是建立在CVE編號系統之上，如果某個漏洞已符合CVE的編號範圍，就會採用CVE編號，而EUVD則是用來整合並強化漏洞資訊。

從另一個角度看，這或許是因為CVE編號是由美國MITRE及CNA網路管理，EUVD則是由歐盟管理，確保歐盟的數位主權；此外，有些漏洞不屬於CVE的收錄範圍，但可能會被列入EUVD；歐盟也可能需要透過EUVD收錄與追蹤來自歐盟成員國，或者是對歐盟影響重大的安全漏洞。

ENISA表示，該組織正與MITRE聯繫，以了解有關CVE的後續發展與影響，而且不管是CVE資料，或是由ICT供應商所提供的資料，都會自動轉移至EUVD。

另一方面，放眼日本與臺灣方面，過去推出的漏洞揭露平臺，內容較側重於在地CERT組織發布的漏洞資訊，例如，JPCERT/CC於2003年推出「JVN漏洞揭露平臺」，漏洞清單以JVNDB編號為主，多數可對應CVE編號，TWCERT/CC於2016年成立「TVN台灣漏洞揭露平台」，公布漏洞幾乎都有TVN編號與CVE編號。因此這兩者並非漏洞資料庫，不像歐盟EUVD會將所有CVE集中收錄。文⊙陳曉莉、羅正漢

在歐盟漏洞資料庫EUVD網站上，其首頁的儀錶版介面相當直覺，我們可以快速檢視3大類資訊，包含：CVSS風險評分超過9分的重大漏洞、已被利用Exploited的漏洞、EU CSIRT協調的安全漏洞。

由於EUVD匯集並確保來自多個來源的公開漏洞資訊可以互通，因此所有美國NVD公開的漏洞資訊，這裡也找得到，若要進一步搜尋，我們可在介面上點選「Full vulnerability list」，進一步透過搜尋條件快速查找更多相關資訊。
 

日本JVN與臺灣TVN

在日本與臺灣方面，由日本JPCERT/CC與IPA共同維運的JVN日本漏洞揭露平臺（Japan Vulnerability Notes），其介面呈現以JVNDB編號為主，點選項目後可發現多數能對應CVE編號，但也有少部分僅有JVNDB編號；在臺灣，TWCERT/CC也有推出TVN台灣漏洞揭露平台（Taiwan Vulnerability Note），這裡幾乎都是由TWCERT/CC指派的漏洞，主要推動原因是臺灣業者之前在產品漏洞修補的觀念較為不足，以及研究人員發現漏洞卻無法聯繫到臺灣原廠，因此提供通報上協助，特別的是，近期我們也看到有些漏洞的發現與通報，是來自資安院的研究人員。