Программа CVE по отслеживанию уязвимостей может лишиться федерального финансирования.

Финасирование программы Common Vulnerabilities and Exposures (CVE) – системы, используемой такими крупными компаниями, как Microsoft, Google, Apple, Intel и AMD для выявления и отслеживания общедоступных уязвимостей в сфере кибербезопасности, – подходит к концу. Программа помогает инженерам определить степень серьезности уязвимости и расставить приорититы при применении исправлений или других мер по смягчению последствий. Организация MITRE, финансируемая государством и стоящая за программой, подтвердила изданию The Verge, что ее контракт на "разработку, эксплуатацию и модернизацию" CVE истекает 16 апреля.

Запущенная в 1999 году, программа CVE содержит базу данных, в которой участвующие организации могут присваивать идентификаторы известным уязвимостям в сфере кибербезопасности. Эти идентификаторы состоят из букв "CVE", за которыми следуют год и номер, например, CVE-2022-27254, что позволяет специалистам по безопасности отслеживать информацию об уязвимостях, которые могут повлиять на устройства, которые мы используем ежедневно, и системы, содержащие критически важную информацию практически для всего, что мы делаем.

Лукаш Олейник (Lukasz Olejnik), исследователь в области безопасности и конфиденциальности, заявил в публикации в социальной сети X, что отсутствие поддержки CVE может "парализовать" системы кибербезопасности по всему миру. "Последствием станет нарушение координации между поставщиками, аналитиками и системами защиты — никто не будет уверен, что говорит об одной и той же уязвимости", — написал Олейник. "Полный хаос и внезапное ослабление кибербезопасности во всех областях".

Йосри Барсум (Yosry Barsoum), вице-президент и директор MITRE в Центре обеспечения безопасности родины, заявил в электронном письме изданию The Verge, что правительство продолжает прилагать значительные усилия для поддержки роли MITRE в программе, и MITRE по-прежнему привержена CVE как глобальному ресурсу. Барсум также отметил, что изменения затронут программу Common Weakness Enumeration, которая каталогизирует слабые места в аппаратном и программном обеспечении.

Первоначально новость была замечена в утечке письма членам совета директоров MITRE, опубликованном в социальных сетях X и Bluesky. MITRE получает финансирование от Министерства внутренней безопасности США (DHS) и Агентства инфрастуктурной безопасности (CISА) для "эксплуатации и развития программы CVE в качестве независимой, объективной третьей стороны", как указано в видеоролике о программе.