告别 CVE？欧洲漏洞数据库 EUVD 正式上线

欧盟网络安全局（ENISA）近日推出欧洲漏洞数据库（EUVD）的测试版，这一全新公共平台将与广泛使用的通用漏洞披露系统（CVE）并行运作但保持独立。该平台是为提升欧盟内部漏洞处理的协调性与透明度。

尽管 CVE 仍是漏洞报告的国际标准，但该系统作为完全由美国政府资助的项目，近期政治动向引发了业界对其长期稳定性的担忧。虽然 CVE 运营方 MITRE 公司的合约在最后还是获得续签，并且 CVE 委员会宣布了成立 CVE 基金会，但这一事件高亮了全球网络安全协调依赖单一国家主体的风险。

EUVD 既可作为美国 CVE 数据库失效时的备用方案，也提供了增强功能：高亮标注已遭利用的漏洞，升级版搜索功能支持软件从业者和安全专家根据多个属性进行查询。此外，ENISA 计划使该数据库支持通用安全通告框架（CSAF），一种机器可读的漏洞通告格式。admeritia GmbH 的 CTO Sarah Fluchs 对此评论道：

时机堪称完美：在特朗普的紧缩政策导致美国 CVE 数据库资金动摇之时，欧洲版能及时上线（……）美国再次证明其在那些被视为理所当然的全球基础设施领域是不可靠的合作伙伴——而欧盟正以非官僚、自发、无预案且低调的方式，推出一个真正可靠的替代方案。

来源：ENISA 网站

根据 EUVD 的常见问题页面说明，当前数据库是基于 Vulnerability-Lookup 代码库构建，提供公开的开放式访问接口，可查看已报告的漏洞及其详细描述和元数据。ENISA 表示，EUVD 是为通过支持风险评估和事件响应来提升欧洲的数字韧性。

尽管该服务仍通过“替代 ID”引用 Mitre 的 CVE 条目，但 EUVD 并未简单复制 CVE 的编号体系，而是采用了自己的标识系统。这种新方法支持对漏洞报告进行独立验证，并与现有条目形成互补而非替代关系。

此外，新平台能够重点关注现有数据库中可能未被充分披露或覆盖的漏洞，尤其是与欧洲数字环境相关的漏洞。在 Reddit 上，虽然多数用户认同不应依赖美国机构来追踪漏洞，但部分人对新 ID 系统提出质疑。用户 Elistic-E 总结道：

看起来不错，不过大概又要多记一套 ID 了。

社区反馈显示，专注于本地需求的区域性数据库的确有价值，但一些从业者对底层数据仍持保留态度：

如果它不只是现有（主要基于美国的）数据库的大集合，这话就成立。除了又多一个需要追踪的标识符外，它没提供任何新东西。我曾对 EUVD 寄予厚望，但查看实际数据后难免有些失望。

EUVD 的计划是欧洲提升数字主权、强化欧盟成员国网络安全能力的整体战略组成部分。目前该数据库处于测试阶段，ENISA 正积极呼吁各国政府机构、私营企业和学术组织通过提交漏洞或利用平台进行安全评估来参与共建。

EUVD 并非首个针对主权问题和对美企依赖担忧的替代方案。全球 CVE 分配系统（GCVE）同样致力于打造兼容传统 CVE 体系的漏洞数据库，其采用去中心化的漏洞标识与编号机制，为行业提供了另一种选择。