Кибербезопасность на грани: программа CVE может приостановиться.

Программы CVE и CWE находятся под угрозой закрытия в связи с истечением срока действия контракта MITRE с Министерством внутренней безопасности США 16 апреля 2025 года, и подтверждения о его продлении пока нет. Без продолжения финансирования может рухнуть возможность стандартизации, отслеживания и реагирования на уязвимости программного обеспечения, что оставит сообщество кибербезопасности в разрозненной и опасно непрозрачной среде.

Как сообщает Forbes, "Неспособность продлить контракт MITRE на программу CVE, срок действия которого истекает 16 апреля 2025 года, несет риск значительных сбоев", – заявил Джейсон Сороко (Jason Soroko), старший научный сотрудник Sectigo. "Перерыв в обслуживании, вероятно, ухудшит национальные базы данных уязвимостей и консультации. Этот пробел может негативно сказаться на поставщиках инструментов, операциях реагирования на инциденты и критически важной инфраструктуре в целом." MITRE подчеркивает свою неизменную приверженность, но предупреждает о потенциальных последствиях, если путь контракта не будет сохранен.

MITRE сообщила, что исторические записи CVE останутся доступными через GitHub, но без продолжения финансирования оперативная сторона программы – включая присвоение новых CVE – фактически прекратит свою деятельность. Это не просто неудобство. Это может изменить способ, которым мирововое сообщество кибербезопасности выявляет, сообщает и реагирует на новые угрозы. MITRE заявила, что обсуждения с правительством США продолжаются и что компания по-прежнему привержена миссии CVE. Но с приближающейся датой истечения срока действия времени остается мало, а последствия даже временного перерыва серьезны.