Global CVE: együttműködésen alapuló sérülékenység-publikációs infrastruktúra
A GCVE (Global CVE) decentralizált publikációs ökoszisztémát indított a szoftver-sérülékenységek azonosítására és közzétételére. A rendszert a luxemburgi CIRCL (Computer Incident Response Center Luxembourg) működteti, és célja, hogy alternatívát vagy kiegészítést nyújtson a hagyományos, központosított CVE-azonosító rendszerhez.
Az új modell lényege, hogy a sérülékenységi azonosítók kiadását nem egy központi hatóság végzi, hanem úgynevezett GCVE Numbering Authority (GNA) szervezetek. Ezek lehetnek például gyártók, CSIRT-ek vagy biztonsági kutatócsoportok, amelyek saját azonosító-tartományban publikálhatnak sérülékenységi rekordokat. Az azonosító formátuma GCVE-<GNA-ID>-<YEAR>-<ID>, ami lehetővé teszi, hogy több szervezet párhuzamosan is publikáljon ugyanarról a sérülékenységről.
A rendszer célja a sérülékenységi információk publikálásának federált modellje, amely csökkenti a központi azonosító-kiadásból eredő késedelmeket és a rendszer egyetlen hibaponttól való függését. A GCVE visszafelé kompatibilis a CVE-rendszerrel, a hagyományos CVE-azonosítók például a GNA-0 tartományba kerülnek, így a meglévő adatbázisok továbbra is használhatók.
A kezdeményezés mögött az a felismerés áll, hogy a modern szoftver-ellátási láncban a sérülékenységek száma gyorsan növekszik, miközben a központosított CVE-kiadási folyamat egyre nagyobb terhelés alatt áll. A GCVE ezért egy elosztott, együttműködésen alapuló sérülékenység-publikációs infrastruktúrát kínál, amelyben több szervezet is aktív szerepet vállalhat a biztonsági információk közzétételében és szinkronizálásában.
