CVE jednak przetrwa – CISA przedłuża finansowanie, powstaje też niezależna fundacja

Po alarmujących doniesieniach o zakończeniu finansowania programu CVE amerykańska agencja CISA ogłosiła jego przedłużenie. Jednocześnie powstała Fundacja CVE, która ma uniezależnić kluczowy dla cyberbezpieczeństwa system od jednego rządowego sponsora.

Wbrew wcześniejszym obawom, program Common Vulnerabilities and Exposures (CVE) – centralna baza identyfikatorów podatności używana globalnie przez firmy technologiczne, badaczy i instytucje rządowe – nie zostanie wstrzymany. W środę 16 kwietnia amerykańska agencja CISA (Cybersecurity and Infrastructure Security Agency) ogłosiła, że przedłużono finansowanie programu, zapobiegając tym samym przerwie w jego działaniu.

„Program CVE jest nieoceniony dla społeczności cyberbezpieczeństwa i stanowi priorytet dla CISA” – poinformowała agencja w komunikacie przesłanym do redakcji BleepingComputer.
„Wczoraj wieczorem CISA uruchomiła opcję przedłużenia kontraktu, by zagwarantować ciągłość krytycznych usług CVE.”

Oświadczenie to pojawiło się zaledwie kilka godzin po ostrzeżeniach ze strony MITRE – organizacji prowadzącej program CVE na zlecenie Departamentu Bezpieczeństwa Krajowego USA. Jak zaznaczał Yosry Barsoum z MITRE, brak finansowania mógłby doprowadzić do zakłóceń w pracy krajowych baz danych, narzędzi analitycznych, operacji reagowania na incydenty oraz infrastruktury krytycznej.

Nie ma tego złego, co by na złe nie wyszło

Równolegle z kryzysem finansowym, grupa członków zarządu programu CVE ogłosiła powołanie nowej organizacji – CVE Foundation. Celem fundacji ma być przekształcenie programu w inicjatywę niezależną od pojedynczego sponsora rządowego. W opublikowanym komunikacie podkreślono, że dotychczasowa struktura oparta na finansowaniu przez rząd USA budziła od lat wątpliwości co do długofalowej stabilności i neutralności programu.

„Chcemy wyeliminować pojedynczy punkt awarii w ekosystemie zarządzania podatnościami i zapewnić, że program CVE pozostanie globalnie zaufanym i napędzanym przez społeczność zasobem” – oświadczyli przedstawiciele fundacji.

Chociaż CISA potwierdziła przedłużenie obecnej umowy z MITRE, przyszłość programu i jego modelu organizacyjnego pozostaje otwarta. Fundacja zapowiada, że w najbliższych dniach opublikuje więcej szczegółów dotyczących planowanego procesu transformacji.

W międzyczasie również Europa podjęła kroki w kierunku większej suwerenności w zakresie bezpieczeństwa cyfrowego. Europejska Agencja ds. Cyberbezpieczeństwa (ENISA) uruchomiła bazę danych o nazwie EUVD – European Vulnerability Database, która agreguje informacje o podatnościach z wielu źródeł i ma stanowić uzupełnienie lub ewentualnie alternatywę dla CVE w kontekście europejskim.