mixmagic – stock.adobe.com
Nova baza ranjivosti EU dizajnirana je za pružanje šireg, transparentnijeg izvora informacija o novim cyber ranjivostima
Od
- Alex Scroxton,Sigurnosni urednik
Objavljeno: 14. maja 2025. 16:41
Agencija Europske unije za cyber-sigurnost (ENISA) debitarala je bazu podataka o ranjivosti Europske unije (EUVD) kako bi pružila “agregirane, pouzdane i djelovne” informacije o novootkrivenim ranjivostima cyber sigurnosti u IT proizvodima i uslugama.
EUVD, koji je ovlašten Direktivom o NIS2, osmišljen je da prikupi javno dostupne informacije iz izvora, poput državnih e-polaznica država članica država računala, a Istraživači industrije, uključujući i druge baze podataka o ranjivosti, uključujući Miterin CVE program.
Enisa je rekla da je ispuniti ovaj cilj, izgradio je svoju platformu na holističkom pristupu kao međusobno povezanu bazu podataka koju vjeruje da će omogućiti bolju analizu i pomoći u zajednici korelacija ranjivosti. Reklo je da će to u konačnici učiniti pouzdanijim, transparentnim i širim izvorom informacija.
“Baza ranjivosti EU glavni je korak ka ojačavanju europske sigurnosti i otpornosti”, rekao je Henna Virkkunen, izvršni potpredsjednik Europske komisije za tehnološki suverenitet, sigurnost i demokratiju.
“Dovođenjem informiranja o ranjivosti relevantnim za tržište EU, podižemo standarde cyber sigurnosti, omogućavajući i privatnim i javnim dionicima da bolje zaštite naše zajedničke digitalne prostore sa većom efikasnošću i autonomijom.”
Enisa izvršni direktor Juhan Lepassaar dodao je: “Enisa postiže prekretnicu sa provedbom zahtjeva za bazu podataka o ranjivosti iz NiS2 Direktive. EU je sada opremljena bitnim alatom kojim se značajno poboljša u upravljanju ranjivosti i rizika povezanih s njima.
“Baza podataka osigurava transparentnost svim korisnicima pogođenog ICT proizvoda i usluga i bit će kao efikasan izvor informacija za pronalaženje mjera ublažavanja.”
Miter CVE program
Lansiranje EUVD-a dolazi samo nekoliko tjedana nakon što je sigurnosna zajednica ljuljala gotovo smrtna iskustva Miterinog dugog tekućeg programa CVE, američkog resursa koji su podržali i -fund koji je u protekle dvije decenije postao učvršćeni u sigurnosnom svijetu.
Iako je Mitrova sredstva bila, na kraju, u posljednjem minutu od strane američkih vlasti, 24 sata neizvjesnosti potaknulo je mnogo pretraga duše i mnogi cyber profesionalci započeli su razmatrati ili raspravljati o ideji alternativa u programu koji je na kraju podržavala jedinstvena vlada.
Iako EUVD nije osmišljen da zamijeni američki program, Enisa je rekla da je sa Mjetrom na svom razvoju i nastavlja da radi zajedno sa neprofitnim tijelom kako bi se razumjeo utjecaj krize finansiranja na EUVD projekt.
Za sada, podaci o uobičajenim ranjivostima i izloženostima (CVE), podaci koje otkrivaju ranjivosti i drugi izvori kao što su cyberSecurity i infrastrukturna agencija za infrastrukturu (CISA) poznati eksplozivni katalog ranjivosti automatski će biti preneseni u EU-u sa podrškom državnih poticaja članica EU.
Na primjer, CVE-2025-32709, privilegija eskalacijska ranjivost u programu Windows pomoćni upravljački program za Windock – otkrivena ove sedmice na Patch-u u utorak – pojavljuje se u EUVD-u sa oznakom EUVD-2025-14439.
Sylvain Cortes, potpredsjednik Strategije u Eviatuitetu, rekao je: “Enisa novi EUVD je dobra inicijativa kada smatrate nedavna pitanja financiranja oko Miterinog CVE programa.
“I dalje postoji neka nesigurnost oko toga da li će miter baza podataka i dalje postojati nakon što novi ugovor ističe u 10 mjeseci, tako da ima europsku opciju znači da se industrija može manje pouzdati na jedan ranjivost. [the US National Vulnerability Database]pretrpeo je zaostale u prošlosti.
“Konačno, potreban nam je izvor za sve ranjivosti koje su pouzdane i otvorene, i nadamo se da će nova obećanja EUVD-a pružiti to”, rekao je Cortes.
Crystal Morin, Cyber sigurnosni strateg na Sysdigu, takođe je pozdravio predstav u sklopu tekućeg napora za jačanje globalnog cyber sigurnosti usred nesigurnom budućnosti. Rekla je da se nadala da će EUVD dopuniti CVE program.
“Imati kako u igranju znači više organizacija koje upravljaju CVE zahtjevima i, u konačnici, brže javno objavljivanje”, rekla je.
“Za sigurnosne ekipe, EUVD je jednostavno još jedan pouzdan izvor za inteligenciju ranjivosti. Sve dok su podnesci ranjivosti pojednostavljene – samo podneseno u jedan program – izbjegavamo dupliciranje i zbunjenost i zabune i zabune.”
Pročitajte više o sigurnosnim i kodiranjem aplikacija
-
Usred neizvjesnosti, Armiza postaje najnovija ovlaštenja CVE
Napisao: Alex Scroxton
-
CISA proširuje Miter Cve ugovor u poslednjem trenutku
Napisao: Alex Scroxton
-
CVE Fondacija obećava kontinuitet nakon rezanja finansiranja mitra
Napisao: Alex Scroxton
-
Miter upozorava na prekid u cve pokrivenosti
Napisao: Alex Scroxton