趁乱上位，欧洲漏洞数据库上线

在美国的NVD漏洞数据库因预算削减和漏洞披露机制混乱而备受质疑之际，欧洲趁势推出了自己的“欧洲漏洞数据库”（EUVD）。这不仅填补了全球漏洞管理生态中日益扩大的空白，也释放出欧盟在网络安全主权上的强烈信号。

欧盟网络与信息安全局（ENISA）于本周二正式宣布 EUVD 全面上线运行，标志着欧洲在漏洞披露和风险缓解体系上进入实战阶段。ENISA 执行主任 Juhan Lepassaar 表示：“该数据库是欧盟增强漏洞管理能力、提高透明度的重要工具，为ICT产品和服务的用户提供关键的信息来源，帮助他们及时采取缓解措施。”

CVE体系动荡，欧洲趁势而起

EUVD网站截图

EUVD 的推出时间颇具意味。早在2024年6月，ENISA 依据《网络与信息安全指令2》（NIS2）开始构建该数据库，并在2025年4月悄然发布了测试版本。当时，美国的 CVE 项目正经历资金危机，其运营合同差点因政府预算削减而终止，直到CISA临时与 MITRE 续签合同才得以延命至明年3月。

而就在本周，美国网络安全和基础设施安全局（CISA）宣布将不再在官网上发布常规安全警报，包括被利用的漏洞信息，而改为通过邮件、RSS和 X（前 Twitter）发布，引发业内广泛质疑。一位资深安全从业者甚至直言：“现在的美国网络安全体系让人越来越难以信任。”

EUVD 有何不同？

与美国国家漏洞数据库（NVD）不同，EUVD 并不止步于传统漏洞索引，其更新频率接近实时，并在首页醒目位置突出展示“高危漏洞”和“已被利用的漏洞”，以便企业和机构快速响应。此外，EUVD 还提供三个仪表盘视图，分别对应：

• 严重漏洞（Critical）

• 已被利用漏洞（Exploited）

• 欧盟CSIRTs网络协同处理漏洞（Coordinated）

数据来源不仅包括公开数据库，还整合了各国 CSIRT 发布的通告、厂商的补丁建议、已知利用信息等，确保信息的权威性与实效性。

EUVD 还在每个漏洞条目中显示 CVE 编号与自有 EUVD 编号，并关联厂商修复链接，提升用户查找效率。相比当前美国 NVD 因人手不足而积压严重、界面老旧、导航不便等问题，EUVD 的用户体验明显领先。

欧洲的网络安全主权意图日益明显

ENISA 目前是 CVE 项目的授权编号机构（CNA），具备分配 CVE 编号与协调披露的资质。但在当前 CVE 项目前景未明的背景下，ENISA 也在公告中坦言：“我们正与 MITRE 就 CVE 项目未来走向保持沟通，评估相关影响。”言下之意，一旦美国 CVE 项目持续削弱，欧洲已准备好接棒或独立运行体系。

值得注意的是，EUVD 的推出与近期欧盟在“数字主权”层面的政策推进一脉相承。从数据本地化到云服务脱钩，再到漏洞披露机制自主化，欧洲正逐步建立起与美国相对独立的网络安全战略体系。

全球漏洞管理进入多极时代

在全球网络攻击频发、漏洞武器化加剧的背景下，漏洞信息的披露与响应机制成为各国网络防御的关键基石。美国曾长期主导 CVE/NVD 体系，但当前其资金不稳、政策反复，已使全球信任受挫。

EUVD 的正式上线，既是欧洲对网络安全主权的集中展示，也是全球漏洞追踪体系“去中心化”趋势的体现。未来，或许将出现多个区域性数据库并存、协同、甚至竞争的新格局。

END