اتحادیه اروپا پایگاه داده رسمی آسیبپذیریهای خود را با نام EUVD (EU Vulnerability Database) بهطور رسمی راهاندازی کرد. توسعه این پایگاه داده از زمان تصویب دستورالعمل NIS2 در دسامبر ۲۰۲۲ آغاز شده بود و اکنون در حالی منتشر شده که ابهاماتی درباره آینده برنامه CVE متعلق به MITRE وجود دارد.
EUVD بهصورت نسخه بتا از اواسط آوریل در دسترس قرار گرفت، درست در زمانی که تمدید لحظه آخری ۱۱ ماهه برای ادامه اجرای برنامه CVE باعث شد بسیاری درباره مسیر بلندمدت آن دچار تردید شوند.
مقایسه با پایگاه داده ملی ایالات متحده (NVD)
از نظر عملکرد، EUVD شباهت بیشتری به پایگاه داده ملی آسیبپذیری ایالات متحده (NVD) دارد که بر پایه دادههای CVE ساخته شده و وظیفه غنیسازی آنها را دارد — هرچند NVD بهسختی از پس حجم بیسابقه آسیبپذیریهای جدید برآمده است.
Juhan Lepassaar، مدیر اجرایی آژانس امنیت سایبری اتحادیه اروپا (ENISA)، گفت:
«اتحادیه اروپا اکنون ابزار ضروریای در اختیار دارد که بهطور اساسی مدیریت آسیبپذیریها و ریسکهای مربوط به آن را بهبود میبخشد. این پایگاه داده، شفافیت را برای همه کاربران محصولات و خدمات ICT تضمین میکند و منبعی مؤثر برای یافتن اقدامات کاهشدهنده تهدیدات خواهد بود.»
ویژگیهای کلیدی EUVD
طبق اعلام ENISA، این پایگاه داده اطلاعاتی تجمیعی، قابل اعتماد و عملیاتی درباره آسیبپذیریهای امنیت سایبری ارائه میدهد؛ از جمله:
-
وضعیت بهرهبرداری (Exploitation Status)
-
اقدامات کاهش خطر (Mitigation Measures)
-
اطلاعات از منابع مختلف مانند CSIRTها، فروشندگان نرمافزار، پایگاههای داده امنیتی و …
ENISA همچنین اعلام کرد که EUVD از نرمافزار متنباز Vulnerability-Lookup برای همبستگی دادههای آسیبپذیری استفاده میکند.
حالتهای نمایش در EUVD:
-
آسیبپذیریهای بحرانی
-
آسیبپذیریهایی که در حال بهرهبرداری فعال هستند
-
آسیبپذیریهایی که توسط CSIRTهای اروپایی هماهنگ شدهاند
اطلاعات پایگاههایی مانند CISA KEV (Known Exploited Vulnerabilities) نیز بهصورت خودکار در EUVD وارد خواهند شد.
تطبیق با قوانین آینده اتحادیه اروپا
با اجرای Cyber Resilience Act (CRA)، از سپتامبر ۲۰۲۶ تمام تولیدکنندگان در اتحادیه اروپا موظف خواهند بود آسیبپذیریهای بهرهبرداریشده را از طریق سامانه SRP (Single Reporting Platform) گزارش کنند که اطلاعات آن نیز به EUVD اضافه خواهد شد.
چشمانداز ناپایدار برنامه CVE
ENISA در تلاش است تا با MITRE درباره آینده برنامه CVE هماهنگی داشته باشد. همچنین با کشورهای عضو و کمیسیون اروپا همکاری میکند تا انعطافپذیری در سیستمهای گزارش آسیبپذیری را حفظ کند.
ENISA یکی از ۴۵۳ مرجع شمارهگذاری CVE (CNA) است که مسئول صدور شناسههای CVE و افزودن رکوردهای جدید به پایگاه داده هستند. با توجه به رشد سریع آسیبپذیریها (بیش از ۴۰٬۰۰۰ مورد در سال)، این کار اهمیت زیادی دارد.
تأسیس بنیاد CVE
در پی نگرانیها از آینده CVE، بنیاد جدیدی با نام CVE Foundation در تاریخ ۱۶ آوریل ۲۰۲۵ تأسیس شد تا برنامه CVE را از یک نهاد دولتی وابسته به قرارداد، به مدلی غیردولتی و غیرانتفاعی منتقل کند.
این بنیاد اعلام کرده که در ۲۴ آوریل با نمایندگان CISA جلسهای برگزار کرده و این مذاکرات را «مثبت و امیدوارکننده» توصیف کرده است.
Matt Hartman، مدیر اجرایی موقت بخش امنیت سایبری CISA، در بیانیهای در تاریخ ۲۳ آوریل تأکید کرد که مشکلی در تأمین مالی وجود نداشته، بلکه تنها «مشکل اداری در مدیریت قرارداد» بوده که بدون وقفه رفع شده است. او تأکید کرد که برنامه CVE ادامه خواهد یافت و بهبود خواهد یافت.
Hartman افزود:
«ما همیشه آماده بازبینی راهبرد برنامه هستیم و به همکاری جامعه جهانی برای ارتقای شفافیت، نوآوری و مشارکت مؤثر در این برنامه متعهدیم.»
یک نظر