美国漏洞资料库计画CVE、CWE本月一度传出可能中断，也引发业界对单一全球漏洞资料库模式的疑虑，并且加速其他人或政府建立并行资料库，作为替代或备援方案。

本月美国非营利组织MITRE传出承揽的多项美国政府专案即将到期，包括其维护的「常见漏洞披露」（Common Vulnerabilities and Exposures，CVE）资料库，以及「通用缺陷列表」（Common Weakness Enumeration，CWE）等资料库。外界猜测是川普政府删减行政预算之故。不过隔日美国主管机关CISA就证实将延长专案至少11个月，使得对资安人员的重要资源暂时解除断炊危机。

上周MITRE计画告急消息传来时，包含MITRE、CISA、NIST、Cisco、微软、Broadcom等CVE董事会（CVE Board）会员宣布成立CVE基金会（CVE Foundation），发展策略上将把CVE计画转为独立的非营利组织，以确保CVE计画的长期稳定及独立性。

然而The Register报导指出，这次事件也让业界注意到单一漏洞资料库的「单一失败点（single point of failure）」风险，需要有和其他单位维护的漏洞资料库，作为美国NVD资料库以外的选择，或提供备援、替代方案。

目前最有潜力的选项是欧盟在NIS2（Network and Information Security Directive 2）下，由欧盟网路安全管理署（European Union Agency for Cybersecurity，ENISA）于2024年6月宣布启动打造欧盟漏洞资料库（EU Vulnerability Databased，EUVD），作为公开存取的资源。

目前EUVD还只是Beta版。本资料库允许用户透过CVSS 或EPSS（Exploit Prediction Scoring System）风险分数、产品、厂商、编号发派者、漏洞刊出日期查询漏洞，也可以选择查询所有漏洞或已被滥用的漏洞。

EUVD计画使用另一套编号系统，也提供漏洞简介、文件及修补程序等连结。这使得每项漏洞会有EUVD、CVE及GSD三种编号。GSD是由云端安全联盟（Cloud Security Alliance）维运的GSD资料库。

ENISA对媒体指出，EUVD宗旨为确保多项公开资讯的互连，ENISA也正和欧盟会员国及执委会合作，确保EUVD系统的韧性。

安全厂商及分析师指出，EU和美国资料库一般情况下还是会互相协同，但个别资料库的出现，可能会因为欧盟和美国政府立场或法规问题，导致对自有资料库的偏袒。但是EU资料库的出现意味着，欧盟对美国政府确保CVE单一资料库的稳定承诺缺乏信心。