На 16 април 2025 г. изтича финансирането от страна на федералното правителство на САЩ за програмите Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE), управлявани от нестопанската организация MITRE. Възможнoто прекъсване на тези програми буди сериозни опасения в световната общност за киберсигурност.
CVE е централна база данни за известни уязвимости в софтуерни и хардуерни системи. Използва се от правителства, компании, доставчици на сигурност и изследователи по целия свят, за да идентифицират и реагират бързо на заплахи. Прекъсване в поддръжката ѝ би означавало загуба на синхронизирана система за наименование и следене на новооткрити уязвимости — нещо, сравнимо с изчезване на картотеката във всяка библиотека по света едновременно, както отбеляза бившият директор на CISA, Джен Ийстърли.
„Докато това може да звучи като технически проблем, последствията са сериозни – от бизнес риск до национална сигурност“, коментира тя в публикация в LinkedIn.
Йосри Барсум, вицепрезидент на MITRE, предупреди CVE борда в официално писмо, че настоящият договор с правителството изтича и финансирането е под въпрос. Ако се стигне до прекъсване, това ще доведе до:
Нарушения в националните бази данни за уязвимости
Проблеми за доставчиците на софтуерни инструменти
Забавяния в реакциите при инциденти
Повишен риск за критична инфраструктура
Фирми като Tenable, RunSafe Security и DefectDojo изразиха тревога и подчертаха значението на стабилността на CVE програмата. Tenable посочи, че без CVE номерата, назначавани от CNAs (официални органи по номерация), новооткритите уязвимости ще останат без единна идентификация.
За да смекчи потенциалния срив, компанията VulnCheck обяви, че ще продължи да предоставя CVE номера и ще поддържа услуга за докладване. Те вече са резервирали 1000 CVE номера за 2025 г. и ще работят за разширяване на тази инициатива.
Освен това е създадена нова структура — CVE Foundation, която цели да осигури дългосрочна независимост, устойчивост и глобално управление на програмата. Това е стратегически ход към елиминиране на единствената точка на провал в управлението на уязвимости.
„CVE е твърде важна, за да бъде уязвима сама по себе си“, казва Кент Ландфийлд от фондацията.
Предстои да видим дали ще бъде намерено решение за подновяване на финансирането или ще се премине към нов модел на управление чрез фондацията и частни доставчици. Във всеки случай, последствията от прекъсване на CVE програмата ще се усещат в цялата световна екосистема за сигурност.
АБОНИРАЙТЕ СЕ ЗА НАШИЯ Е-БЮЛЕТИН И ПОЛУЧАВАЙТЕ НОВИНИ И СЪВЕТИ НА ТЕМА КИБЕРСИГУРНОСТ.
© 2022 Фондация “Киберсигурност за Всеки” с ЕИК 206932045. Всички права запазени. Политики за поверителност.
ж.к. Гео Милев бл. 117, вх.А
София 1113, България
support[@]e-security.bg
Фондация “Киберсигурност за Всеки” с ЕИК 206932045 е ЮЛНЦ в обществена полза, регистрирано в ЕС, работещо в съответствие с мисията и целите си.
Моля, имайте предвид, че всички споменати продукти и/или имена на компании са търговски марки ™ или ® на съответните им притежатели. Уебсайтът/фондацията няма никаква свързаност и/или одобрение за/от тях – тези търговски марки се използват само за образователни цели като примери. Настоящият уебсайт е онлайн информационна платформа, управлявана от доброволна фондация в обществена полза. Благодарим ви, че сте тук и за всякакви допълнителни въпроси, не се колебайте да се свържете с нас.
Мисията на Фондация “Киберсигурност за Всеки” е да допринесе за подобряване на киберсигурността, информационна сигурност и защита на системите и да повиши културата на обществото и организациите по тези и свързани с тях теми. Ние насърчаване безопасността и поверителността на потребителите, като повишаваме осведомеността, информираме за най-добрите и нови практики и помагаме на хора и организации да преодолеят съвременните предизвикателства за сигурността на мрежата и опазването на техните дигиталните активи.
На посоченият от Вас e-mail е изпратено съобщение за потвърждаване на абонамента.
Моля, проверете електронната си поща за да потвърдите.
