MITRE Corporation, organizacja non-profit odpowiedzialna za program Common Vulnerabilities and Exposures (CVE), potwierdziła, iż kontrakt na jego rozwój, obsługę i modernizację wygasa 16 kwietnia 2025 r. Tak, dziś.
Program CVE, stanowiący globalny standard identyfikacji i śledzenia publicznie ujawnionych luk w zabezpieczeniach oprogramowania, jest wykorzystywany przez firmy takie jak Microsoft, Google, Apple, Intel czy AMD. Brak dalszego finansowania może zagrozić jego funkcjonowaniu.
MITRE otrzymywało środki na program CVE od Departamentu Bezpieczeństwa Krajowego USA (DHS) oraz Agencji Cyberbezpieczeństwa i Bezpieczeństwa Infrastruktury (CISA). Yosry Barsoum, wiceprezes MITRE, oświadczył, iż organizacja pozostaje zaangażowana w utrzymanie programu jako globalnego zasobu, a rząd USA podejmuje wysiłki, by wspierać jej rolę. Jednak wygaśnięcie kontraktu, o czym jako pierwszy informował wyciek listu do członków zarządu CVE opublikowany na platformach X i Bluesky, budzi obawy o przyszłość programu.
I żebyśmy zdali sobie sprawę z powagi sytuacji: program CVE, czyli Common Vulnerabilities and Exposures, to międzynarodowy system służący do identyfikacji, katalogowania i publicznego ujawniania luk w zabezpieczeniach systemu oraz systemów informatycznych. Jego celem jest zapewnienie standardowego sposobu opisywania i śledzenia podatności, co umożliwia firmom, badaczom i specjalistom ds. cyberbezpieczeństwa szybkie rozpoznawanie zagrożeń, ocenę ich powagi oraz priorytetyzację działań naprawczych. Program jest zarządzany przez MITRE Corporation, organizację non-profit, przy wsparciu finansowym, między innymi, Departamentu Bezpieczeństwa Krajowego USA (DHS).
Każda luka zgłoszona w ramach programu otrzymuje unikalny identyfikator CVE w formacie „CVE-rok-numer” (np. CVE-2025-12345), co pozwala na jej jednoznaczną identyfikację w globalnych bazach danych. Rekordy CVE zawierają opis podatności, jej potencjalny wpływ oraz, w miarę możliwości, odniesienia do poprawek lub środków zaradczych. System jest wykorzystywany przez największe firmy technologiczne, takie jak Microsoft, Google, Apple, Intel czy AMD, a także organizacje rządowe i niezależnych badaczy. Czy rozumiecie co oznacza wyłączenie tej bazy (i jej regularnej aktualizacji) z powodu braku finansowania?
The CVE program is about to go dark.
MITRE just confirmed their funding to run CVE and CWE expires tomorrow. That’s the main database the world relies on to track known vulnerabilities in software.
Yes, the CVE. The backbone of the entire vuln ecosystem. No CVEs = no shared… pic.twitter.com/4bwcPxiA1V
— Feross (@feross) April 15, 2025
Co prawda MITRE zapewnia, iż historyczne rekordy CVE pozostaną dostępne na stronie GitHub, ale to stanowi jednocześnie kolejną sugestię, iż w przypadku braku nowego finansowania nowe luki mogą nie być katalogowane.
W prace nad CVE zaangażowanych jest ponad 400 organizacji, takich jak Google, Apple czy Microsoft, które pełnią rolę CVE Numbering Authorities (CNA) i wydają identyfikatory CVE, co może częściowo złagodzić skutki braku finansowania. Szczegóły dotyczące potencjalnych nowych źródeł finansowania lub wpływu na bieżące operacje programu nie zostały podane, ale sytuacja jest monitorowana przez społeczność cyberbezpieczeństwa.
Bardzo możliwe, iż ten ruch amerykańskiej administracji ma na celu wymuszenie finansowania kwestii cyberbezpieczeństwa przez podmioty, które powinny być najbardziej zainteresowane niezawodnością własnych rozwiązań, czyli dużych, technologicznych graczy. Jest jednak i minus takiego podejścia: wybrane firmy mogą nie być zainteresowane publikowaniem informacji na temat luk we własnych rozwiązaniach, co w efekcie degraduje globalne bezpieczeństwo. Dotychczasowa baza luk realizowana w ramach programu CVE stanowiła korzyść i dla użytkowników rozwiązań informatycznych, jak i dla producentów tychże. Brak finansowania programu CVE może zaburzyć ten porządek. Jedno jest pewne: jakiekolwiek zaburzenia w infrastrukturze cyberbezpieczeństwa uradują cyberprzestępców.
Jeśli artykuł Program CVE traci finansowanie – zagrożone globalne bezpieczeństwo cyfrowe nie wygląda prawidłowo w Twoim czytniku RSS, to zobacz go na iMagazine.
