欧洲网络安全局 (Enisa) 已推出欧洲漏洞数据库 (EUVD),旨在提供关于 IT 产品和服务中新披露的网络安全漏洞的 “汇总、可靠且可操作” 信息。
EUVD 是根据 NIS2 指令要求构建的,设计目标是从欧盟成员国国家计算机安全事件响应小组 (CSIRT)、行业威胁研究人员及其他漏洞数据库(包括 Mitre 的 CVE 程序)等公开渠道汇集信息。
Enisa 表示,为实现这一目标,其平台采用了整体化方法构建为一个互联数据库,相信这将有助于更深入的漏洞分析,并帮助社区相互关联漏洞信息,从而使数据库最终成为一个更为可信、透明且信息覆盖更广的来源。
“欧洲漏洞数据库是加强欧洲安全和韧性的重要一步,”欧洲委员会负责科技主权、安全与民主事务的执行副主席 Henna Virkkunen 表示,“通过整合与欧盟市场相关的漏洞信息,我们不仅提升了网络安全标准,还使公私部门相关利益方能够更高效、更自主地保护我们共享的数字空间。”
Enisa 执行董事 Juhan Lepassaar 补充道:“Enisa 以实施 NIS2 指令中关于漏洞数据库的要求迈出了一个里程碑。欧盟现已配备了一项关键工具,旨在大幅改善对漏洞及其相关风险的管理。该数据库为所有受影响的信息通信技术产品和服务用户提供了透明的信息,并将成为寻找缓解措施的高效信息来源。”
Mitre CVE 程序
欧盟漏洞数据库的推出距安全社区因 Mitre 长期运行的 CVE 程序濒临崩溃事件仅数周之遥。该程序由美国政府支持和资助,二十年来已成为安全领域不可或缺的资源。
尽管美国当局在最后关头恢复了对 Mitre 的资助,但这 24 小时的不确定性引发了广泛反思,不少网络安全专业人士开始考虑或讨论寻找替代仅受单一政府支持的程序的可能性。
虽然 EUVD 并非旨在取代这一美国项目,Enisa 表示在其开发过程中与 Mitre 密切合作,并将继续与这一非营利机构共同研究资助危机对 EUVD 项目的影响。
目前,关于常见漏洞与曝光 (CVE) 的数据、漏洞披露者提供的数据以及其它来源(例如美国网络安全与基础设施安全局 (CISA) 的已知利用漏洞目录)将在欧盟成员国 CSIRT 的支持下自动导入 EUVD。
例如,CVE-2025-32709(Windows WinSock 附属功能驱动程序中的一个权限提升漏洞,于本周补丁星期二被披露)在 EUVD 中以编号 EUVD-2025-14439 出现。
Hackuity 战略副总裁 Sylvain Cortes 表示:“考虑到近期 Mitre CVE 程序的资助问题,Enisa 推出的 EUVD 是一项非常好的举措。此外,对于新合同在 10 个月后到期后,Mitre 数据库是否仍会存在仍存在一定不确定性,因此拥有一个欧盟备选方案可以减少行业对单一漏洞扩充来源的依赖。考虑到美国国家漏洞数据库 (NVD) 过去曾出现积压问题,这一方案更显得弥足珍贵。”
“归根结底,我们需要一个既可信又开放的漏洞信息来源,我们希望新 EUVD 的承诺能够实现这一目标,”Cortes 补充道。
Sysdig 网络安全策略师 Crystal Morin 也对该发布表示欢迎,认为这是在不确定未来下加强全球网络安全努力的一部分。她表示,希望 EUVD 能够补充 CVE 程序,“同时运行两套系统意味着会有更多组织处理 CVE 请求,最终实现更快的公开披露。”
“对于安全团队来说,EUVD 只是另一个可信的漏洞情报来源。只要漏洞提交流程保持简化 —— 仅向一个程序提交 —— 我们就能避免信息重复和混乱,从而提升反应速度和系统韧性。”
