Véget ér a MITRE CVE program?
Ma (2025. április 16.) lejár a MITRE nonprofit kutatóóriás számára a Common Vulnerabilities and Exposures (CVE) program működtetésére és fenntartására biztosított amerikai kormányzati finanszírozás, ami példátlan fejlemény, és megingathatja a globális kiberbiztonsági ökoszisztéma egyik alappillérét.
A 25 éves CVE-program értékes eszköz a sérülékenységek kezelésében, mivel de facto szabványt kínál a nyilvánosságra hozott biztonsági hibák azonosítására, meghatározására és katalogizálására CVE-azonosítók segítségével. A program eddig több mint 274 000 CVE-bejegyzést tartalmazott.
Yosry Barsoum, a MITRE alelnöke és a Center for Securing the Homeland (CSH) igazgatója elmondta, hogy „a CVE és a kapcsolódó programok, például a Common Weakness Enumeration (CWE) fejlesztésére, működtetésére és korszerűsítésére szánt finanszírozás lejár”.
„Ha a szolgáltatás megszakadna, az többféle hatással járna, beleértve a nemzeti sérülékenységi adatbázisok és összefoglalók, az eszközgyártók, az incidensreagálási műveletek és mindenféle kritikus infrastruktúra romlását” – jegyezte meg Barsoum a CVE igazgatótanácsi tagjainak küldött levelében.
Barsoum azonban rámutatott, hogy a kormány továbbra is „jelentős erőfeszítéseket tesz” a MITRE programban betöltött szerepének támogatására, és hogy a MITRE továbbra is elkötelezett a CVE mint globális erőforrás mellett. A MITRE szóvivője elmondta, hogy már hetek óta dolgoznak a Belbiztonsági Minisztérium (DHS) kormányzati képviselőivel, hogy megtalálják a módját a CVE-program továbbvitelének. „Bár a CISA és a MITRE Corporation szerződése április 16-án lejár, sürgősen dolgozunk a hatások enyhítésén és a CVE-szolgáltatások fenntartásán, amelyekre a globális érdekeltek támaszkodnak” – mondta a CISA szóvivője.
A CVE programot 1999 szeptemberében indították el, és a MITRE működteti az Egyesült Államok Belbiztonsági Minisztériumának (DHS) és a Kiberbiztonsági és Infrastruktúra-biztonsági Ügynökség (CISA) támogatásával.
A lépésre válaszul a VulnCheck kiberbiztonsági cég, amely egy CVE Numbering Authority (CNA), bejelentette, hogy proaktívan 1000 CVE-t foglal le 2025-re.
