批评者认为，MITRE管理的通用漏洞与暴露(CVE)项目，已远不能实现其分类并识别所有已知漏洞的使命。CVE拥护者称，新模型正弥补该差距。

CVE无疑是个伟大的概念：公开发布软件或固件中所有已知漏洞的“字典”，供公司企业查询自身面临风险。然而，在非营利研发组织MITRE发起该项目18年后，关于其效果，有了很多争议。

在各处公布的所有漏洞中，商业数据库目前跟踪到了约80%，CVE在60%到80%之间。于是做风险决策的时候，盲区有50%左右。这是很严重的缺失，而且由于组成物联网的设备和随之而来的漏洞持续爆炸式增长，情况只会越来越糟。

CVE的识别与分类已落后太多太多。

——约书亚·科曼 大西洋理事会网络国策倡议理事

在去年9月的一篇文章中，CSO在线高级撰稿人史蒂夫·雷根表示：“CVE系统遭遇了瓶颈和覆盖面空白，数千漏洞未分配CVE编号。这些空白将企业领导人和安全团队暴露给诸多漏洞，让他们依赖CVE编号才能起效和评估风险的安全产品甚至不知道这些漏洞的存在。”

糟糕的是，CVE董事会的几位成员——包括来自网络安全社区不同部分的25人，同样持批评态度。

目前有52,913个漏洞没有CVE编号，缺失的数量占被分类总数158,413的33%。然而，该百分比的改善，却是以准确性和质量为代价的。因为缺乏关键细节，同时未包含有所帮助的参考资料，有些CVE描述对消费者基本没用。因此，想要从CVE编号中获益，消费者不得不做更多的工作，试图理解该问题。MITRE在其分配和抽象规则上也经常反复。有些时候给一组问题分配了太多ID，有些时候连年份编号都搞错了。

CVE的滞后甚至惊动了美国国会。众议院能源和商业委员会主席，及其下属委员会3名委员，在3月30号给负责管理CVE的MITRE致函。为MITRE提供资金的国土安全部(DHS)建议，MITRE应预测漏洞发展态势，并询问了MITRE对CVE滞后问题的打算。

发给MITRE的信函中称：“与CVE项目短板相关的联网设备和服务的爆炸式发展，虽然很快，却并非一夕之功。有鉴于此，我们希望了解MITRE和CVE项目在预测和应对该发展上失败的原因，以及为确保该项目更有效服务其基本使命，还有什么可以做的。”

尽管想要了解详情，但目前委员会明显不想公众得知内情——虽然该项目也是纳税人的钱支持的。去函要求在4月13日前回复，但委员会至今未透露任何与MITRE或DHS联系的进一步信息。委员会发言人丹·施耐德称MITRE已回复，但他拒绝讨论任何与该项目相关问题。

DHS公共事务办公室的露西·马丁内兹称：“我们不对国会通信联系做任何评论，将直接答复国会议员。”她甚至未回应查看MITRE回复的简单要求。另外，无论MITRE还是DHS，都拒绝说出该项目每年经费开销数额。雷根报出的数字，只是2006年的120万美元。

关于数千漏洞没有CVE编号的投诉，MITRE发言人珍妮弗·朗称：“CVE项目只对MITRE感知到，且符合漏洞定义的100%漏洞分配编号。网络生态系统中确实有未知数量的漏洞可以分配编号。问题在于，因为这些漏洞没有报给CVE项目，我们无法量化其比例。统计漏洞的方法不唯一，也没有全球公认的方式，不同组织对漏洞的定义和统计是不一样的。”

这让马丁十分困扰：“鉴于CVE项目的本质，我真心认为MITRE的响应应该公开。他们所谓的CVE‘利益相关者’，或者我认为的‘消费者’，应了解MITRE准备怎么解决这些问题。”

然而，该项目拥护者称，情况正在变好，过去15个月以来一直在改善。他们将这一改善归功于所谓的“联合系统”——招募了62家CNA（CVE编号机构）之类的组织来发现新漏洞并分配ID编号。

肯特·兰德菲尔德，迈克菲首席标准与技术策略师，CVE董事会创始会员，承认MITRE不堪漏洞“爆炸”重负。他说，问题在2016年1月浮出水面，社区、董事会和MITRE出现了分歧。此后，事情就向着正确的方向发展了。虽然过去MITRE大权在握，不愿引入新的CNA，他们如今开始了联合模式。某种程度上这还只是个实验，但确实从2016年3月开始了。

目的就在于，将CVE编号负担分担给负责不同门类CVE的“根”CNA。

其中一个例子，是分布式弱点归档(DWF)项目——负责查找并识别开源软件中漏洞的项目。其他CNA——微软、评估和谷歌之类的大公司，识别并分类在其产品中找到的漏洞。

兰德菲尔德称，底线是“我们设置一个能扩展的机制——得是可持续的。而这也正是当前正在发生的。”

库尔特·谢福瑞德，DWF项目总监，红帽产品安全高级软件工程师，CVE董事，对此表示认同。弥补CVE空白的方法很简单：加入更多CNA拓展CVE。

这意味着要建立一个类似DNS（域名系统）的监管模型——MITRE是根，DWF是所有开源产品的次根，微软是所有微软产品的次根，诸如此类，每个国家/行业垂直分类都有各自的CNA层级分管。该操作模型更加点对点，CNA按需联系彼此。

谢福瑞德指出，自联合模型启动，“我们就倍增了CNA数量，2016年便分配了1万多个CVE编号。我们还在自动化和其他自服务风格方面做出了努力，以持续推进该过程来满足需求。”

朗补充称，“联合”模式开启时，CNA数量仅为22，自那之后，增加了40个，且新CNA候选人持续进入视野。

于是，这是否意味着，尽管问题仍在，但情况正朝着逐渐解决的方向走呢？阿尔特·曼宁，卡耐基梅隆大学软件工程学院CERT部门漏洞分析技术经理，另一CVE董事，对此持谨慎乐观态度。谨慎，因为他认为马丁的部分批评是对的——虽然差距大小仍有争辩可能，但无论以何种标准衡量都“十分巨大”了，而且，当前模式下确实不可能跟上IoT带来的漏洞大爆发。

每年分配1万到1.4万个漏洞编号根本是低了一个数量级。该问题已经超出了人力范畴，只有用自动化来解决。但因为曼宁本人就是致力于将自动化引入编号分配过程的CVE董事会工作组成员之一，他对CVE也持有乐观态度，“有迹象表明联合系统在起作用，虽然现在下结论还为时过早。”

马丁认为，长期的成功还取决于做好基础工作。“MITRE用了太多纳锐人的钱在行政管理位置上，而不是将资金更多地投入到直接支持该数据库的人身上。”