ABD Hükümeti, kar amacı gütmeyen araştırma devi MITER’ın ortak güvenlik açıklarını ve maruziyetlerini (CVE) işletmesi ve sürdürmesi için finansman, küresel siber güvenlik ekosisteminin temel sütunlarından birini sarsabilecek eşi görülmemiş bir gelişme olan Çarşamba günü sona erecek.
25 yaşındaki CVE programı, CVE ID’lerini kullanarak kamuya açıklanan güvenlik kusurlarını tanımlamak, tanımlamak ve kataloglamak için fiili bir standarda sunan güvenlik açığı yönetimi için değerli bir araçtır.
MITER’ın Vatan Merkezi (CSH) Merkezi Başkan Yardımcısı ve Direktörü Yosry Barsoum, “Ortak Zayıflık Nümelleme (CWE) gibi CVE ve ilgili programların sona ereceğini” söyledi.
Barsoum, “Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının bozulması ve danışmanları, araç satıcıları, olay müdahale işlemleri ve her türlü kritik altyapı da dahil olmak üzere CVE için birden fazla etki bekliyoruz.”
Bununla birlikte, Barsoum, hükümetin programdaki rolünü desteklemek için “önemli çaba sarf etmeye” devam ettiğine ve MICER’in küresel bir kaynak olarak CVE’ye kararlı kaldığını belirtti.
CVE programı Eylül 1999’da başlatıldı ve ABD İç Güvenlik Departmanı (DHS) ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) sponsorluk ile MITER tarafından yönetildi.
Harekete yanıt olarak, bir CVE numaralandırma otoritesi (CNA) olan siber güvenlik firması Vulncheck, boşluğu doldurmaya yardımcı olmak için 2025 için proaktif olarak 1.000 CVE’yi ayırdığını açıkladı.
Sectigo kıdemli üyesi Jason Soroko, Hacker News ile paylaşılan bir açıklamada, “Bir hizmet molası muhtemelen ulusal güvenlik açığı veritabanlarını ve danışmanları düşürecekti.” Dedi.
Diyerek şöyle devam etti: “Bu atlama, araç satıcılarını, olay müdahale operasyonlarını ve kritik altyapıyı geniş ölçüde etkileyebilir. MITER, sürekli taahhüdünü vurgular, ancak sözleşme yolu korunmazsa bu potansiyel etkileri uyarır.”
Securonix kıdemli tehdit araştırmacısı Tim Peck, Hacker News’e, CNA’ların ve savunucuların CVV’leri elde edemeyeceği veya yayınlayamayacağı ve güvenlik açığı açıklamalarındaki gecikmelere neden olabileceği siber güvenlik ekosistemi için büyük sonuçlar doğurabileceğini söyledi.
Peck, “Ayrıca, Ortak Zayıflık Sınırlama (CWE) projesi yazılım zayıflığı sınıflandırması ve önceliklendirmesi için hayati önem taşıyor.” Dedi. “Durumu güvenli kodlama uygulamalarını ve risk değerlendirmelerini etkileyecektir. CVE programı temel bir altyapıdır. Sadece ‘referans listesi’ olmak güzel değil, özel sektör, hükümet ve açık kaynak genelinde güvenlik açığı koordinasyonu, önceliklendirme ve yanıt çabaları için birincil kaynaktır.”