| 16 апреля 2025 г. — 4:15 PT
Программа безопасности CVE, используемая для отслеживания уязвимостей как в аппаратном, так и в программном обеспечении, была лишена федерального финансирования с немедленным вступлением в силу. Apple является одним из технологических гигантов, полагающихся на программу Common Vulnerabilities and Exposures (CVE) для выявления уязвимостей безопасности в своих продуктах.
Обновление: Члены правления CVE отреагировали, объявив о создании нового некоммерческого фонда CVE Foundation, призванного продолжить работу — подробнее в конце…
Программа безопасности CVE
Программа CVE предоставляет простой и эффективный способ для любого человека или организации сообщать об уязвимостях безопасности, обнаруженных ими в любом технологическом продукте.
После сообщения ей присваивается уникальный идентификатор, состоящий из CVE- с последующим указанием года и порядкового номера. Это позволяет другим видеть, что проблема была зарегистрирована, и проводить собственные расследования, чтобы помочь соответствующей технологической компании определить степень серьезности проблемы.
В случаях, когда уязвимость требует действий от нескольких технологических компаний, система CVE помогает им координировать свои усилия. Apple, Google и Microsoft входят в число многих компаний, использующих эту систему.
Хотя программа находится под эгидой Министерства внутренней безопасности США, ее работа передается на субподряд частной компании The MITRE Corporation.
Правительство США снимает федеральное финансирование
Вчера The MITRE Corporation объявила, что ее федеральное финансирование было прекращено с сегодняшнего дня.
В среду, 16 апреля 2025 года, истекает срок действия текущего контракта MITRE на разработку, эксплуатацию и модернизацию CVE и ряда других связанных программ, таких как CWE […]
В случае перебоев в обслуживании мы ожидаем множества последствий для CVE, включая ухудшение состояния национальных баз данных уязвимостей и консультаций, для поставщиков инструментов, операций по реагированию на инциденты и всех видов критически важной инфраструктуры.
Известный исследователь безопасности Лукаш Олейник заявил, что это приведет к «полному хаосу» в сфере кибербезопасности.
Сократив, по сути, копеечные расходы, администрация Трампа фактически (по крайней мере, временно) парализует глобальную систему кибербезопасности — CVE […]
Последствием станет срыв координации между поставщиками, аналитиками и системами защиты — никто не будет уверен, что имеет в виду одну и ту же уязвимость. Полный хаос и резкое ослабление кибербезопасности во всех сферах.
Финансирование CWE также снято
Как упомянула MITRE, сокращение также снимает финансирование программы Common Weakness Enumeration (CWE). Это связанная схема, позволяющая выявлять общие пути слабых мест в программном и аппаратном обеспечении, которые могут иметь последствия для безопасности.
Это предоставляет руководство, которое помогает технологическим компаниям убедиться, что они не допускают уязвимостей безопасности в своих продуктах с самого начала, по сути, позволяя всем учиться на ошибках других.
Мнение 9to5Mac
Программы CVE и CWE высокоэффективны и чрезвычайно экономичны. Лишение их финансирования — это безумие.
Обновление: Похоже, что члены правления CVE предвидели риск этого. Сегодня они объявили о создании фонда CVE Foundation для продолжения работы программы.
Эта обеспокоенность стала срочной после письма от MITRE от 15 апреля 2025 года, уведомляющего правление CVE о том, что правительство США не намерено продлевать контракт на управление программой. Хотя мы надеялись, что этот день не наступит, мы готовились к такой возможности.
В ответ коалиция давних, активных членов правления CVE провела последний год, разрабатывая стратегию перехода CVE в специализированный некоммерческий фонд. Новый фонд CVE Foundation сосредоточится исключительно на выполнении миссии по обеспечению высококачественной идентификации уязвимостей и поддержанию целостности и доступности данных CVE для защитников по всему миру.
Фонд заявляет, что предоставит дополнительную информацию о своих планах в ближайшие дни. Финансирование будет иметь решающее значение, и я полагаю, что Apple будет среди технологических гигантов, которые предложат поддержку.
Рекомендуемые аксессуары