Aralık 2022’de NIS2 Direktifinin piyasaya sürülmesinden bu yana geliştirilen Avrupa Birliği’nin kırılganlık veritabanı resmi olarak başlatıldı.
Veritabanı bir süredir çalışmalarda olsa da, birçok kişinin programın uzun vadeli yönünü merak eden son dakika 11 aylık bir uzantısı alan, Miter’in CVE programının çalışması için geleceği konusundaki belirsizlik nedeniyle beta modunda başlatıldı.
Avrupa Birliği Güvenlik Açığı Veritabanı (EUVD), CVE verilerini zenginleştiren ve yeni güvenlik açıklarının rekor hızına ayak uydurmak için mücadele eden ABD Ulusal Güvenlik Açığı Veritabanı (NVD) için daha yakın olabilir.
AB Siber Güvenlik Ajansı Enisa’nın genel müdürü Juhan Lepassaar, yeni EUVD’den şunları söyledi: “AB şimdi güvenlik açıklarının ve onunla ilişkili risklerin yönetimini önemli ölçüde iyileştirmek için tasarlanmış temel bir araçla donatılmıştır. Veritabanı, etkilenen BİT ürünleri ve hizmetlerinin tüm kullanıcılarına şeffaflık sağlar ve bulma özelliğinin etkisi olarak duracaktır.
EUVD, sömürülen güvenlik açıklarını içerecektir
Bir ENISA açıklamasına göre, EUVD “Bilgi ve İletişim Teknolojileri (BİT) ürün ve hizmetlerini etkileyen siber güvenlik güvenlik açıkları üzerindeki azaltma önlemleri ve sömürü durumu gibi toplu, güvenilir ve eyleme geçirilebilir bilgiler” sağlayacaktır.
EUVD, CSIRT’ler, satıcılar ve mevcut veritabanları gibi “birden fazla kaynaktan gelen halka açık bilgilerin yüksek düzeyde bağlantısı” vermeyi amaçlamaktadır. ENISA, EUVD’nin açık kaynaklı yazılım güvenlik açığı-görüşü yoluyla güvenlik açıklarının korelasyonunu kolaylaştıracağını söyledi.
EUVD üç görüntüleme sunar: kritik güvenlik açıkları, sömürülmüş olanlar ve Avrupa CSIRT’ler tarafından koordine edilen güvenlik açıkları için. CISA’nın bilinen sömürülen güvenlik açığı kataloğundan gelen bilgiler, diğer veri kaynaklarının yanı sıra EUVD’ye otomatik olarak eklenecektir.
Eylül 2026’da, Siber Dayanıklılık Yasası’nda (CRA) öne sürülen tek raporlama platformu (SRP) aracılığıyla üreticilerin aktif olarak sömürülen güvenlik açıklarını bildirmeleri AB’de zorunlu hale gelecektir, bu nedenle SRP verileri muhtemelen EUVD’ye eklenecektir.
AB güvenlik açığı veritabanı CVE belirsizliğinin ortasında piyasaya sürülüyor
ENISA, CVE programı için sonraki adımların ne olabileceğini anlamak için MITER ile temas halindedir. Ajans anlattı Cyber Express Aynı zamanda AB Üye Devletleri ve Avrupa Komisyonu ile “güvenlik açığı sistemlerinin esnekliğini sağlamak için” çalışması.
ENISA aynı zamanda CVE ID’leri atayan ve CVE programının yeni güvenlik açıklarındaki büyük artışa ayak uydurmasına yardımcı olmak için kataloğa CVE kayıtları ekleyen 453 CVE numaralandırma yetkililerinden (CNAS) biridir.
EUVD, CVE programının gelecekteki yönü üzerindeki belirsizlik sonrasında başlatılan tek program değil.
CVE Foundation, CISA on CVE programı ile buluşuyor
CVE Vakfı, 16 Nisan 2025’te, MITER sözleşmesi sona erecek şekilde başlatıldı. Yeni Vakfın hedefi, CVE programını tek bir hükümet sponsorundan çeşitlendirilmiş bir kar amacı gütmeyen modele taşımaktır.
Grubun ana sayfasında uzun bir açıklama yaptığı açıklamada, “Bu kuruluşun tek hükümet kontrolü dışında var olması gerektiğine inanıyoruz ve en iyi, küresel katılım, finansman ve şeffaflığa izin veren kamuya açık, kar amacı gütmeyen bir işletim modeli altında uygun olduğuna inanıyoruz” diyor.
Grup, 24 Nisan’da CISA temsilcileriyle bir araya geldiğini ve görüşmeleri “olumlu ve cesaret verici” olarak nitelendirdiğini söyledi.
CISA’nın siber güvenlik müdür yardımcısı Matt Hartman, 23 Nisan’da bir açıklamada, hiçbir zaman bir finansman sorunu olmadığını, sadece “sözleşme atışından önce çözülen bir sözleşme yönetimi sorunu olduğunu söyledi.
Açıklamada, ajansın program kuruluşu hakkındaki tartışmalara açık olduğunu ileri sürdü. Hartman’ın ifadesi, “Tarihsel olarak programın sürekli etkinliğini ve değerini destekleme stratejisini yeniden değerlendirmeye çok açık kaldık” dedi. “Önümüzdeki önemli çalışmaların önde olduğunu da kabul ediyoruz. CISA, MITER ve CVE Kurulu ile koordineli olarak, CVE programının yönetimindeki genel olarak topluluk geri bildirimlerini aktif olarak aramaya ve dahil etmeyi taahhüt ediyoruz. Özel sektörler ve uluslararası hükümetler arasında, bu tür istikrar ve yenilikler arasında bu tür istikrar ve yenilikleri sunmak için işbirliği, aktif katılım ve anlamlı işbirliği.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.