Програмата за уязвимости CVE е спасена в последния момент
Програмата CVE, която служи като главен международен механизъм за отчитане и идентифициране на софтуерни уязвимости внезапно се оказа на ръба да бъде закрита. Въпреки това, един ден преди края на контракта, държавното управление на Съединени американски щати утвърди удължение на периода, като по този метод се избегна спиране на работата на този сериозен запас.
Договорът сред MITRE и Министерството на вътрешната сигурност на Съединени американски щати, което поддържа базата данни CVE от 1999 година насам не беше възобновен, както беше планувано, което провокира паника в киберобщността. CISA (Агенцията за киберсигурност и отбрана на инфраструктурата) съобщи, че е взела решение в последния миг да задейства опцията за удължение на контракта, като по този метод е осигурила непрекъснатост на услугата.
Същевременно тя разгласи основаването на нова организация с нестопанска цел – Фондация CVE, която ще поеме стратегическата задача да поддържа и развива самодейността, като подсигурява нейната самостоятелност от държавно финансиране. Фондацията ще се концентрира само върху продължаването на присвояването на идентификатори на уязвимости и поддържането на единна база данни.
Този ход беше разказан като значима смяна за унищожаване на „ единствена точка на неуспех “ в световната система за ръководство на уязвимостите. Досега тази точка беше финансирането от страна на Съединени американски щати, което стана изключително значимо в изискванията на редуциране на разноските и общо намаляване на въздействието на Съединени американски щати на интернационалната сцена.
В продължение на 25 години програмата CVE служи като ориентир за откриватели, държавни управления и разработчици от целия свят, предоставяйки им благонадежден и централизиран източник на информация за уязвимостите. От 2023 година насам MITRE е получила почти 30 млн. $ за подкрепяне на CVE и обвързваните с нея стратегии. Вчерашната вест за вероятното прекъсване провокира вълна от безпокойствие и полемики в професионалната общественост.
Представителите на новосъздадения фонд към този момент обявиха, че програмата не би трябвало да зависи от държавни поръчки, изключително в подтекста на неустойчивостта и неналичието на бистрота, с които CISA се е показала, съгласно членовете на борда на CVE. Един от членовете на съвета, Питър Алор означи, че обстановката с неподновяването на контракта е била известна на всички страни авансово, само че е била сведена до знанието на общността едвам в последния миг.
Все още не е ясно по какъв начин тъкмо новата организация ще си взаимодейства с MITRE и дали ще продължи процеса на прекосяване на ръководството. Някои задгранични държавни организации и частни компании към този момент започнаха да обмислят различни способи за ръководство на регистъра на уязвимостите, което заплашва единството и световното доверие в системата.
