欧盟网路安全管理署（ENISA）在5月13日宣布，欧盟漏洞资料库EUVD正式上线，全名是European Vulnerability Database，这是一个互连资料库，目标是确保来自不同来源的公开漏洞资讯得以互通，同时採用CVE编号与EUVD编号。这意味着，资安人员日后要查找漏洞资讯，除了可以透过原有的美国漏洞资料库（NVD），现在也能透过EUVD网站来查找。

近期漏洞资料库的消息之所以特别受到资安界关注，是因为原本受全球仰赖的CVE资料库传出可能停摆的消息，主要是美国总统川普大砍行政预算，使得美国国土安全部，未能与负责维护CVE资料库的非营利组织MITRE续约，双方合约的到期日为4月16日，幸好后续由美国网路安全暨基础设施安全局（CISA）提供资金。

类似美国NVD漏洞资料库，确保欧盟的数位主权

具体而言，CVE计画是从1999年启动，其设计目的就是提供全球安全漏洞一致的编号，不只MITRE可以分配CVE漏洞编号，身为CVE Numbering Authority（CNA）计画的成员也能指派，涵盖全球来自39个国家的353个CNA成员，当中不仅包括苹果、Amazon、Google、微软或众多资安业者，台湾也有TWCERT/CC与12家厂商成为CNA，而欧盟ENISA亦于2024年1月成为CNA。

特别的是，ENISA在欧盟网路与资讯安全2指令（NIS2）的要求下，从去年6月着手开发EUVD，类似于美国的国家漏洞资料库（NVD）。

直到最近MITRE维运CVE出现状况，才加快EUVD项目脚步，于今年4月展开封闭测试，5月正式上线。至此，EUVD所扮演的角色也从着重欧盟地区扩大到全球。

ENISA说明，EUVD的主要目标，是汇集并确保来自多个来源的公开漏洞资讯可以互通，包括国家电脑安全事件应变小组（CSIRT）、厂商以及现有资料库的内容。而为了实现更好的漏洞资讯管理与分析，EUVD表示当中採用Vulnerability-Lookup开源软件，以协助漏洞的关联性查找，从而强化网路资安风险管理。

从EUVD漏洞资料库的首页介面来看，我们即可看到提供了3种类型资讯的仪表板，第一，是CVSS风险评分超过9分的重大漏洞；第二，是已被利用（Exploited）的漏洞；第三，是来自EU CSIRT协调的安全漏洞。此外，EUVD不仅採用CVE编号，每个CVE编号还会有相对应的EUVD编号。

ENISA解释，EUVD编号是建立在CVE编号系统之上，如果某个漏洞已符合CVE的编号範围，就会採用CVE编号，而EUVD则是用来整合并强化漏洞资讯。

从另一个角度看，这或许是因为CVE编号是由美国MITRE及CNA网路管理，EUVD则是由欧盟管理，确保欧盟的数位主权；此外，有些漏洞不属于CVE的收录範围，但可能会被列入EUVD；欧盟也可能需要透过EUVD收录与追蹤来自欧盟成员国，或者是对欧盟影响重大的安全漏洞。

ENISA表示，该组织正与MITRE联繫，以了解有关CVE的后续发展与影响，而且不管是CVE资料，或是由ICT供应商所提供的资料，都会自动转移至EUVD。

另一方面，放眼日本与台湾方面，两者的漏洞揭露平台内容，较侧重于在地CERT组织发布的漏洞资讯，例如，JPCERT/CC于2003年推出「JVN漏洞揭露平台」，漏洞清单以JVNDB编号为主，多数可对应CVE编号，TWCERT/CC于2016年成立「TVN台湾漏洞揭露平台」，公布漏洞几乎都有TVN编号与CVE编号，不过这两者并不像欧盟EUVD将所有CVE集中收录。文⊙陈晓莉、罗正汉

在欧盟漏洞资料库EUVD网站上，其首页仪錶版介面相当直觉，我们即可快速检视3大类资讯，包含：CVSS风险评分超过9分的重大漏洞（上图的左上部分）、已被利用Exploited的漏洞（上图的右上部分）、第三，EU CSIRT协调的安全漏洞（上图的下方部分）。

?

由于EUVD汇集并确保来自多个来源的公开漏洞资讯可以互通，因此所有美国NVD公开的漏洞资讯这里也找得到，若要进一步搜寻，我们也能在介面上点选「Full vulnerability list」，进一步透过搜寻条件快速查找更多相关资讯。?

日本JVN与台湾TVN

?

在日本与台湾方面，由日本JPCERT/CC与IPA共同维运的JVN日本漏洞揭露平台（Japan Vulnerability Notes），其介面呈现以JVNDB编号为主，点选项目后可发现多数能对应CVE编号，但也有少部分仅有JVNDB编号；在台湾，TWCERT/CC也有推出TVN台湾漏洞揭露平台（Taiwan Vulnerability Note），这里几乎都是由TWCERT/CC指派的漏洞，主要推动原因是台湾业者之前在产品漏洞修补的观念较为不足，以及研究人员发现漏洞却无法联繫到台湾原厂，因此提供通报上协助，近期我们也看到有些漏洞是资安院研究人员发现并通报的。

?