负责管理与维护「常见漏洞披露」（Common Vulnerabilities and Exposures，CVE）资料库，以及「通用缺陷列表」（Common Weakness Enumeration，CWE）的美国非营利组织MITRE近日传出，包括这两项专案的许多专案合约都将在本周三（4/16）到期。外界猜测应是川普大砍美国行政预算所导致。

MITRE负责管理美国政府的6个联邦资助研究与发展中心（Federally Funded Research and Development Center，FFRDC），从国防、航空、医疗、国土安全到网路/资讯安全，以及自这些中心衍生的各种专案。像是管理资安漏洞唯一识别码的CVE专案，从1999年上线迄今，已累积超过27.4万个CVE；或者是专门帮各种漏洞分门别类的CWE专案，于2006年设立，现已统计出超过600个漏洞类别。

在社交媒体上流传的这一张信件，是由负责美国国土安全部窗口的MITRE主任Yosry Barsoum写给CVE委员会的，表示包括CVE与CWE在内的多项合约，都将在4月15日到期，倘若CVE服务中断，可能有多方会受到影响，从国家资料库、工具供应商、事件回应的操作，到各种关键基础设施等。

资安专家Brian Martin指出，一旦相关预算消失，CVE编号授权单位再也无法分配ID或交予MITRE快速发布，这是美国国家漏洞资料库（NVD）的基础，但NVD已积压了超过3万个漏洞，全球所有依赖CVE与NVD分析漏洞的公司都将受到剧烈影响。

不管是CVE或CWE专案，都是源自于美国国土安全部的国家网路安全部门所编列的预算，但最近美国总统川普（Donald Trump）大砍行政预算，令这些组织自身难保。根据The Record的报导，美国网路安全暨基础设施安全局（CISA）正在制定人事删减计画，可能会裁撤一半的全职员工跟40%的承包商，波及1,300人。

CSO Online则引述消息来源报导，MITRE从4月15日的午夜开始，就不再于CVE资料库中添加纪录，而会转至GitHub。CISA也向该报表示，虽然双方的合约即将到期，但他们正在努力减轻影响，以维护受到全球依赖的CVE服务。