CVE

美國CISA雖然承諾延長委託MITRE執行CVE、CWE專案至少11個月，但外界也擔心後續可能再度因為政治等不確定因素而影響CVE、CWE專案運作，並將目光轉向歐盟打造的漏洞資料庫EUVD

針對美國政府傳出終止MITRE的合約，將導致「常見漏洞披露（CVE）」資料庫，以及「通用缺陷列表（CWE）」停止運作的情況，引起全球資安圈高度關注，這起風波出現進展，CISA表示他們根據合約選項延長服務，暫時免於CVE停止運作而可能引發的後續效應

解析2020到2022年的CISA的ICS漏洞通告與CVE漏洞，工控網路安全公司SynSaber今年初發布一份產業CVE追蹤報告，當中指出拖延修補與老舊產品漏洞的問題，以及韌體與協定漏洞其比例占四成，修補難度較高

到了今年11月，美國CISA所發布已遭成功利用的高風險漏洞名單（KEV）屆滿一年，當中會持續將駭客組織實際於攻擊行動使用的漏洞列入，要求該國聯邦機構限期修補，而此清單也成為全球企業修補重要參考，如今這份清單已列出逾800個漏洞，而我們也注意到，前段時間CISA將近10年以上的漏洞列入，另外，CVE董事會成員Kent Landfield則在11月撰文表示，認為現在過於依賴CVSS的狀況，呼籲同時重視KEV

現在所有開源社群參與者，都可在GitHub安全諮詢資料庫更新資訊，提供豐富的漏洞資訊以及情報

近期國內網通設備大廠兆勤科技宣布，Zyxel成為MITRE通用漏洞揭露計畫的CVE Numbering Authority（CNA）成員，值得關注的是，近年國際間越來越多廠商也看重並加入這項計畫，前年新增17個，去年新增40個，光是今年上半又增加29個。

所有Wi-Fi路由設備和基地臺都需要修補KRACKs漏洞，因為這個漏洞攻擊WPA2使用裝置的連線授權過程，因此，凡是連線到路由器的設備都會受到影響。包括Windows、Linux，iOS和Android平臺的裝置全部受影響

CVE統計2016年揭露的漏洞數量，去年最多漏洞的產品為Android，被揭露523個漏洞，其次是Debian Linux、Ubuntu Linux，Adobe Flash排名第4。若以業者來看，漏洞最多的前三名業者為甲骨文、Google、Adobe。