Salı gecesi kilit bir sözleşmenin süresi dolmadan önce on birinci saatlik bir mücadelede, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı, Ortak Güvenlik ve Diski Programı olarak bilinen uzun süredir yazılım valne tutma projesi için finansmanını yeniledi. Kâr amacı gütmeyen araştırma ve geliştirme grubu aracılığıyla yönetilen CVE programı, küresel siber güvenliğin bir linchpinidir-dijital savunma ve araştırma için kritik veri ve hizmetler sunmaktadır.
CVE programı, MITER’in CISA’nın fonunu kullanarak gerçekleştirmesi için bir gündem ve öncelikler belirleyen bir kurul tarafından yönetilir. Bir CISA sözcüsü Çarşamba günü yaptığı açıklamada, MITER ile yapılan sözleşmenin 11 ay boyunca uzatıldığını söyledi. “CVE programı siber topluluk için paha biçilmez ve CISA’nın bir önceliği” dedi. “Dün gece CISA, kritik CVE hizmetlerinde bir geçiş olmayacağından emin olmak için sözleşmede opsiyon süresini gerçekleştirdi. Ortaklarımızın ve paydaşlarımızın sabrını takdir ediyoruz.”
Miter’in başkan yardımcısı ve anavatanı güvence altına alma merkezi müdürü Yosry Barsoum, Çarşamba günü yaptığı açıklamada, “CISA’nın programları işlevsel tutmak için artımlı finansman tanımladığını” söyledi. Bununla birlikte, bu karar çıkmadan önce saat geçerken, CVE programının bazı üyeleri projeyi CVE Vakfı adı verilen yeni bir kar amacı gütmeyen kuruluşa geçirme planı açıkladı.
“Başlangıçtan bu yana, CVE programı, sözleşme kapsamında sağlanan gözetim ve yönetim ile ABD hükümet tarafından finanse edilen bir girişim olarak faaliyet göstermiştir. Bu yapı programın büyümesini desteklerken, CVE Kurulu üyeleri arasında küresel olarak güvenilen bir kaynağın sürdürülebilirliği ve tarafsızlığı konusunda uzun süredir devam eden kaygıları, tek bir hükümet sponsoruna bağlı olarak yazdı.” “Bu endişe, 15 Nisan 2025 tarihinden sonra, CVE Kuruluna ABD hükümetinin programı yönetme sözleşmesini yenilemeyi planlamadığını bildiren bir mektuptan sonra acil hale geldi. Bu gün gelmemesini umuyor olsak da, bu olasılık için hazırlanıyoruz.”
Mevcut CVE kurulundan, CVE Foundation bildirisinde alıntılanan uzun zamandır siber güvenlik endüstrisi üyesi Kent Landfield dışında yeni girişim ile kimin bağlı olduğu belirsizdir. CVE Foundation hemen bir yorum talebi döndürmedi.
CISA, Wired’den CVE program sözleşmesinin kaderinin neden söz konusu olduğu ve Federal hükümeti Trump yönetimi tarafından zorunlu kılınan son bütçe kesintileriyle ilgili olup olmadığı konusunda sorulara cevap vermedi.
Araştırmacılar ve siber güvenlik profesyonelleri Çarşamba günü, ABD federal finansmanındaki benzeri görülmemiş istikrarsızlığın sonucu olarak CVE programının aniden var olmayı bırakmadığı konusunda rahatladılar. Ve birçok gözlemci, olayın, herhangi bir hükümetten veya başka bir tek kaynaktan finansmana bağlı olmayan bağımsız bir varlık haline gelmesi durumunda, olayın sonuçta CVE programını daha esnek hale getirebileceği konusunda temkinli iyimserlik dile getirdi.
Vulncheck’in güvenlik araştırmacısı Patrick Garrity, “CVE programı kritik ve başarılı olması herkesin çıkarına” diyor. “Hemen hemen her kuruluş ve her güvenlik aracı bu bilgilere bağlıdır ve bu sadece ABD değil. Küresel olarak tüketilir. Bu yüzden topluluk tarafından sağlanan bir hizmet olmaya devam etmesi gerçekten, gerçekten önemlidir ve bu konuda ne yapacağımızı bulmamız gerekir, çünkü kaybetmek herkes için bir risk olacaktır.”
Federal tedarik kayıtları, CVE programını yürütmek için sözleşme başına on milyonlarca dolara mal olduğunu göstermektedir. Ancak, eşleştirilmemiş yazılım güvenlik açıklarından yararlanan tek bir siber saldırıdan meydana gelebilecek kayıpların şemasında, uzmanlar Wired’e, operasyonel maliyetlerin sadece ABD savunmasına göre ihmal edilebilir göründüğünü söylüyor.
CISA’nın son dakika finansmanına rağmen, CVE programının geleceği uzun vadede hala belirsiz. Federal bir yüklenici oldukları için anonimlik isteyen bir kaynak olarak şöyle dedi: “Hepsi çok aptal ve tehlikeli.”