Güncellenmiş CVE yol haritası, finansman tehditlerini takip ediyor
Chris Riotta (@Chrisriotta) •
11 Eylül 2025
ABD Siber Savunma Ajansı, küresel olarak kabul edilen güvenlik açığı izleme sistemi için yeni bir vizyon ortaya koyuyor, ancak güvenlik analistleri, federal ajans içindeki finansman tehditlerinin ve kargaşa, herhangi bir reformu tutmadan önce rayından çıkarabileceği konusunda uyarıyor.
Ayrıca bakınız: Web Semineri İsteğe Bağlı: Yeni Nesil Erişim Modellemesi: En az ayrıcalık ve sıfır güven için AI odaklı roller
Siber güvenlik ve altyapı güvenlik ajansının ortak güvenlik açıkları ve maruziyet programı için yeni vizyonu, ajansın programın “büyüme döneminden” “kalite çağına” geçiş dediği şeyi işaret ediyor. Strateji, topluluk ortaklıklarını genişleterek, güvenlik açığı verilerini standartlaştırmak, federasyonlu mekanizmalar yoluyla zenginleştirmeyi ölçeklendirmek ve yetkili veri yayıncısı kabiliyetini büyütmek için sanayi ve uluslararası hükümetlerle işbirliği yaparak güven, yanıt verme ve veri kalitesini destekleme planlarını özetlemektedir.
Duyuru, programın bir Trump yönetiminin finansmanına karar vermesinin ardından neredeyse kepçelenmesinden sadece aylar sonra gerçekleşmesinden sadece aylar sonra, bir karar yürürlüğe girmeden sadece birkaç saat önce tersine döndü (bkz:: Siber güvenlik alarmları CVE programı finansmanının kaybına karşı ses çıkarıyor).
CISA’nın kendisi dik bütçe kesintilerinden ve personelinin kabaca üçte birinin kaybedilmesinden kaynaklanıyor ve uzmanlar arasında ajansın iddialı yol haritasını teslim etme yeteneği hakkında şüpheler yaratıyor.
CVE programı 1999’a dayanmaktadır. Ağ savunucularının, güvenlik görevlilerinin ve kritik altyapı operatörlerinin katalog ve referans siber güvenlik kusurlarını nasıl standartlaştırmaktadır. İç Güvenlik Bakanlığı tarafından finanse edilen ve Miter Corporation tarafından korunan program, kuruluşların bilinen güvenlik açıklarını nasıl azalttığını şekillendirmiştir.
Her yaygınlığı, CVVE sayısındaki sürekli, yıllık büyümenin, siber savunucuların risklerini doğru bir şekilde değerlendirmesini zorlaştırdığı konusunda endişe duyduğu konusunda güvenilirliği konusunda şikayetleri kapsayan eleştiri olmadan gelmedi. Programın finansman için DHS’ye olan tek güvenliği, biri Nisan ayında ölümle olan yakın fırçasıyla spot ışığına atılan başka bir endişe kaynağı oldu. Son zamanlarda yapılan diğer tartışmalar, önerilen gözetim reformları ve araştırmacılardan gecikmeler ve tutarsız kırılganlık verileri hakkında tekrarlayan şikayetler üzerinde kurul kavgası bulunmaktadır.
Güvenlik firması Procircular’ın baş teknoloji sorumlusu Brandon Potter, “Eylemler kelimelerden daha yüksek sesle konuşuyor, bu yüzden CISA ve CVE Vakfı’ndan sonraki adımlar başarı elde etmek için çok önemli olacak.” Dedi. “Ne yazık ki, daha çok, en geniş etkiye sahip olan bir sonraki şeyin belirsizliği ile ilgili.”
Programın ilk “büyüme dönemi” boyunca Cisa, programın 460’dan fazla CVE numaralandırma yetkilisinden oluşan bir küresel ağın işe alınmasıyla tanımlandığını söyledi. Bu, siber güvenlik topluluğunun yüz binlerce güvenlik açığını tanımlamasına, tanımlamasına ve kataloglamasına izin verdi.
CISA, programın “kalite dönemi”, CVSS puanlarını içeren daha eksiksiz kayıtlar ve güvenlik açığı sömürü yöntemlerinin ortak zayıflık ve numaralandırma kataloğuna referanslar gibi iyileştirmeler içereceğini söyledi. Ajans, yetkilileri numaralandırma için otomasyon ve çevrimiçi hizmetlere öncelik verecek ve siber güvenlik topluluğunun tam süpürmesinin danışma kurulunda temsil edilmesini sağlayacaktır, CISA da sözü verdi.
Strateji, programın değerinin hükümetin desteğini izlediğini ileri sürüyor. CISA, CVE’yi özelleştirmek “bir kamu yararı olarak değerini sulandıracak” dedi. Programın özel sektör mülkiyeti, güvenlik açıklarını ifşa etme ve “potansiyel ekonomik veya itibar zarlarını önlemek için” susturma zorunluluğu arasında parçalanmış sponsorlardan çıkar çatışmalarına girecektir.
Bununla birlikte, CISA’nın “çeşitlendirilmiş finansman için potansiyel mekanizmaları” değerlendirdiğini ve daha sonraki bir tarihte güncellemeleri vaat ettiğini söylüyor.
Bug Bounty platformu Bugcrowd için CISO olan Trey Ford, Information Güvenlik Medya Grubuna özel endüstrinin, numaralandırma otoritesi altyapısını güçlendirmek için özellikle “yatırım ve pazardaki yol haritasını daha iyi anlamak için aç olduğunu” söyledi.
Ford, “CVE programını geliştirmek için çok fazla fırsat var.” Dedi. Diyerek şöyle devam etti: “Bu yatırımların, güvenlik açığı sunumlarını işleme ve doğrulamak ve sonuçta CVE kayıtlarının kalitesini iyileştiren özel sektör kişileriyle uyumlu olduğunu görmek istiyoruz.”
CISA’nın yeni siber güvenlik direktörü Nick Andersen, CISA “CVE programını modernleştirme fırsatını yakalıyor” ve “küresel siber güvenlik savunmasının temel taşı olarak sağlamlaştırma” dedi. Andersen yaptığı açıklamada, ajansın topluluk geri bildirimleri ve küresel ortaklarla katılım içeren yeni modernize edilmiş bir çerçeve aracılığıyla “güvenlik açığı verilerinin ve küresel siber güvenlik esnekliğinin kalitesini artırmaya” çalıştığını söyledi.
Analistler ISMG’ye, CISA’nın programda hala bir liderlik yapması gerekse de, özel sektör kuruluşlarıyla kapsamlı işbirliği sözü vermesi ve net beklentiler belirlemesi gerektiğini söyledi.