Програмата CVE се закрива – светът остава без карта на уязвимостите
Сигурността на целия интернет е застрашена...
Емил Василев преди 2 минути 45 СподелиНай-четени
IT НовиниДаниел Десподов - 8:58 | 11.04.2025„ Светлината не е нещо, което се движи в пространството, а самото пространство в придвижване “ – още една забавна доктрина
ХардуерДаниел Десподов - 14:53 | 14.04.2025Създадена е стомана, която е 10 000 пъти по-устойчива към явлението отмалялост на метала
ПрепоръчаноДаниел Десподов - 11:25 | 14.04.2025Мислех, че моята Wi-Fi мрежа е сигурна, до момента в който не ревизирах настройките на своя рутер
Емил Василевhttps://www.kaldata.com/В края на седмицата може да бъде закрита една от най-значимите начинания в региона на киберсигурността – програмата Common Vulnerabilities and Exposures (CVE), която повече от две десетилетия каталогизира обществено известни уязвимости. По данни на MITRE Corporation федералното държавно управление на Съединени американски щати е решило да не възобновява контракта, по който организацията управляваше програмата.
Според MITRE финансирането за създаване, поддържане и модернизиране на програмата CVE, както и на обвързваните с нея начинания като Common Weakness Enumeration (CWE) ще завърши през днешния ден. Това значи освен прекъсване на актуализациите, само че и следващо закриване на формалния уеб страница. Достъпът до историческите данни ще бъде непокътнат в GitHub, само че няма да бъдат добавяни нови записи на уязвимости.
От стартирането си през 1999 година програмата CVE се трансформира в крайъгълен камък на международната система за киберсигурност. Данните от нея се употребяват от фирмите за сигурност, държавните организации и сериозната инфраструктура за идентифициране и разбор на заканите.
MITRE, финансирана от Националната дирекция за киберсигурност (NCSD), част от Агенцията за киберсигурност и отбрана на инфраструктурата на Съединени американски щати (CISA) от самото начало дава отговор за координацията на плана.
Представители на MITRE подчертаха, че макар прекратяването на контракта, организацията остава ангажирана с продължаването на програмата и договаря с Министерството на вътрешната сигурност на Съединени американски щати за вероятни способи за нейното опазване. В същото време CISA публично удостовери, че договорът в действителност изтича и увери, че се подхващат незабавни ограничения за свеждане на въздействието до най-малко.
Защо договорът не е възобновен, остава неразбираемо – представители на CISA отхвърлиха да разясняват аргументите, нито пък разкриха дали има проекти за прекачване на самодейността на различен реализатор. В писмо до членовете на програмния съвет Йосри Барсум, шеф на Центъра за национална сигурност на MITRE, предизвести за вероятни съществени последствия: от утежняване на положението на националните бази данни за накърнимост до понижаване на успеваемостта на инструментите за разкриване на закани и реагиране на произшествия.
Ситуацията е тревожна за специалистите от промишлеността. Отбелязва се, че неочакваното прекъсване на CVE може бързо да прерасне в проблем на националната сигурност. Програмата е в основата на доста процеси за ръководство на уязвимостите и отбрана на сериозни системи.
В отговор на този ход компанията за осведомителни услуги VulnCheck, която е органът, отговарящ за номерирането на CVE разгласи, че авансово е резервирала 1000 броя CVE за 2025 година, с цел да помогне за запълване на празнотата. Говорител на Securonix съобщи, че планът CWE е от значително значение за класифицирането и приоритизирането на софтуерните уязвимости. Спирането на програмата ще се отрази на практиките за безвредно програмиране и оценка на риска.
MITRE се смята за една от най-уважаваните организации в региона на киберсигурността, която поддържа необятен набор от стратегии в интерес на защитата, опазването на здравето, авиацията и други области. Потенциалната загуба на ролята ѝ в CVE не е просто административен преход, а рискува да наруши цялата екосистема за следене на уязвимости.
