Tehnologija

CVE Fondacija obećava kontinuitet nakon rezanja finansiranja mitra

anketa.plus
Izvor: anketa.plus
CVE Fondacija obećava kontinuitet nakon rezanja finansiranja mitra

Sa vijestima da se Mitrov ugovor za pokretanje svjetski poznatog CVE programa naglo prestaje, lopata grupa postavlja neprofitnu fondaciju za pokušaj osiguranja kontinuiteta projekta

Od

  • Alex Scroxton,Sigurnosni urednik

Objavljeno: 16. aprila 2025. 15:45

U jeku naglom prestanka ugovor o Mitru za pokretanje CVE programa, grupa ranjivosti i pripadnika miterskog postojećeg CVE Odbora pokrenula je novom neprofitnu s namjerom da zaštiti budućnost programa.

Osnivači Fondacije CVE žele osigurati kontinuitet, održivost i stabilnost 25-godišnjeg CVE programa, koji je do danas (16. aprila) operiran kao američka inicijativa koja financira vladu, uz nadzor i upravljanje koje je Mitar pružio ugovor.

Čak i obračunavanje bez utjecaja krivičnog gubitka programa CVE – koji je jedan od mnogih vladinih ugovora o mitrenim vladinim ugovornim sedmicama – i već je doveo do otpuštanja udžbenika – CVE-a odbora kažu da su već imali dugotrajnu zabrinutost zbog održivosti i neutralnosti takvog globalnog oslabljenog na jedinstvenu vladu.

Njihove zabrinutosti su se iznenada pojačale nakon pisma o gospodarskom josry barsoummu upozorenja da je CVE program bio pod prijetnjom koji je prošao ove sedmice. “CVE, kao kamen temeljac Globalnog cyber sigurnosnog ekosustava, suviše je važno da bi bio ranjiv sam”, rekao je Kent Landfield, oficir Fondacije.

“Cyber ​​sigurnosni stručnjaci širom svijeta oslanjaju se na CVE identifikatore i podatke kao dio svakodnevnog rada – od sigurnosnih alata i savjeta za prijetnju inteligenciji i odgovoru. Bez CVE, branitelji su u velikoj nepovoljnosti od globalnih cyber prijetnji.”

Osnivači su rekli da se danas nadaju nikada neće doći, prošle godine proveli su prošlu godinu marljivo radeći u pozadini da stvori strategiju za prelazak CVE sustavu u posvećenu, nezavisnu neprofitnu.

Za razliku od mitra – prvobitno računarsko istraživanje vrti na MIT-u u Bostonu koji sada radi višestruko istraživanje i razvoj – Fondacija CVE bit će isključivo posvećeno pružanju kvalitetne identifikacije ranjivosti i dostupnosti postojećih baza podataka CVE u ime sigurnosnih stručnjaka u ime.

Fondacija kaže da je njegovo službeno lansiranje označava “glavni korak ka uklanjanju jedinstvene tačke neuspjeha u ekosustavima ranjivosti” i zaštitu reputacije programa kao pouzdanog resursa u zajednici.

“Za međunarodnu zajednicu cyber sigurnosti, ovaj potez predstavlja priliku za uspostavljanje upravljanja koji odražava globalnu prirodu današnjeg pejzaža prijetnji”, rekli su osnivači.

Zajednica u šoku

Iako u vrijeme pisanja CVE program ostaje i radi, s novim počinjenim programima na njen GitHub u proteklih sati, reakcija na otkazivanje ugovora brzo je i procvat.

“Sa 25 godina dosljednog javnog finansiranja, CVE je ugrađen u sigurnosne programe, feedove dobavljača i radne promene rizika”, rekao je Tim Griefeson, OCD i izvršni potpredsjednik na adresi napada. “Bez toga riskiramo kršimo zajednički jezik koji čuva sigurnosne ekipe usklađene da se učinkovito identificiraju i rješavaju ranjivosti.

“Kašnjenja u dijeljenju podataka o ranjivosti povećali bi vrijeme odziva i davanje prijetnji aktera gornje ruke”, dodao je. “Sa propisima poput sek, Niš2 i Dora koji zahtijeva vidljivost rizika u stvarnom vremenu, nedostatak razumijevanja izloženosti riziku i bilo kakav odloženi odgovor mogao bi ozbiljno ometati sposobnost da efikasno reagiraju.”

Za održavanje postojećih nivoa otpornosti, važno je za lidere bezbednosti da osigura da organizacije imaju jasno razumijevanje njihove napadačke površine i njihovih dobavljača, rekao je Grieveson.

Dodano u ovo, saradnju i razmjenu informacija u sigurnosnoj zajednici postat će još važnije nego što je već.

Chris Burton, šef profesionalnih usluga u testiranju testiranja i sigurnosnih usluga na bazi Yorkshirea, rekao je da će prevladati hladnije glave.

“Potpuno je razumljivo, postoje zabrinutosti u vezi sa vladinim izvlačenjem sredstava za Miter CVE program; to je zabrinjavajući razvoj sigurnosne industrije”, rekao je.

“Ako je pitanje čisto financijsko, Crowdfunding bi mogao ponuditi održiv put naprijed, okupljajući javnu podršku za projekat mnogi vjeruju u”, dodao je Burton. “Ako je operativno, može postojati prilika da se namjenski odbor zajednice ulazi i vodi.

“Bilo kako bilo, ovo nije kraj, to je šansa za preispitivanje i ponovno puštanje. Nemoj još ne paničariti; još uvijek postoje opcije na stolu, kao globalnu zajednicu. Trebali bismo vidjeti kako se ovo razvija.”

Sljedeći koraci za sigurnost profesionalca

Na praktičnijoj razini, Griefeeson je podijelio neke dodatne korake za sigurnosne timove za sada:

  • Mapa Interne ovisnosti o alatu za CVE feedove i API-je da znaju šta bazu podataka trebaju postati tamna;
  • Identificirati alternativne izvore za održavanje inteligencije ranjivosti, fokusirajući se na kontekst, utjecaj poslovanja i blizinu kako bi se osiguralo sveobuhvatno pokrivanje prijetnji, bilo da su trenutni, nastaju ili povijesni;
  • Ubrzati međuindustrijska inteligencija dijeljenje proaktivno iskorištavanja taktika, alata i prijetnji podacima o glumcu.

Pročitajte više o sigurnosnim i kodiranjem aplikacija

  • Usred neizvjesnosti, Armiza postaje najnovija ovlaštenja CVE

    Napisao: Alex Scroxton

  • CISA proširuje Miter Cve ugovor u poslednjem trenutku

    Napisao: Alex Scroxton

  • Miter upozorava na prekid u cve pokrivenosti

    Napisao: Alex Scroxton

  • Ranjivosti Ivanti ZERO-Dne, eksploatirane su u lančanom napadu

    Napisao: Alexander Culafi