MITER, son dakika sözleşme uzantısı ile CVE programının kapatılmasını önler. Uzun vadeli finansman ve güvenlik açığı izlemenin geleceği hakkında sorular devam etmektedir.
Bu hafta onaylanan son dakika sözleşmesi uzantısı sayesinde MITER’in CVE (ortak güvenlik açıkları ve maruziyetler) programının yönetilmesindeki rolü devam edecektir. Hemen bozulma riski önlenirken, durum programın uzun vadeli istikrarı ve CVE gibi kritik altyapının nasıl desteklendiği konusunda endişeleri artırdı.
Son dakika bir reprieve
15 Nisan’da MITER, CVE Kurulu üyelerine CVE’yi yönetmek için mevcut sözleşmesinin ve CWE (Ortak Zayıflık Numarasyonu) gibi ilgili çabaların ertesi gün 16 Nisan 2025’te sona ereceğini söyledi.
“Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının ve danışmanlarının bozulması, araç satıcıları, olay müdahale operasyonları ve her türlü kritik altyapı da dahil olmak üzere CVVE için birden fazla etki bekliyoruz.”
Bluesky’de kamuya açıklanan ve Infosec topluluğunda hızla dolaşan mektup, hükümetin desteği sürdürmek için “önemli çaba” yaparken, bu noktada uzun vadeli bir sözleşme yapılmadığını da sözlerine ekledi.
16 Nisan’a kadar, ABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), MITER’in CVE programını genişletilmiş bir anlaşma kapsamında işletmeye devam edeceğini açıkladı. Bu hareket geçici bir rahatlama sağladı, ancak belirsizlik hala programın gelecekteki yapısı ve finansman modeli üzerinde duruyor.
– Siber Güvenlik ve Altyapı Güvenlik Ajansı (@Cisagov) 16 Nisan 2025
CVE Neden Önemlidir?
Bilmediğiniz herkes için, CVE ID’leri halka açık siber güvenlik güvenlik açıkları için benzersiz tanımlayıcılardır. Dünya çapında güvenlik ekipleri, yazılım satıcıları, araştırmacılar ve devlet kurumları için ortak bir referans noktası olarak hizmet veriyorlar. Onlar olmadan, küresel siber güvenlik ekosistemi, güvenlik açıklarının nasıl adlandırıldığı, izlendiği ve ele alındığı konusunda tutarlılıktan yoksun olacaktır.
Qualys Tehdit Araştırma Birimi’ndeki güvenlik açığı araştırmalarının yöneticisi Saeed Abbasi açıkça ortaya koyuyor: “Bu kamusal veritabanları, siber güvenlik topluluğuna risk için ortak bir dil ve eşi görülmemiş bir bağlılık ve netlik seviyesi sunuyor. Bu nedenle, herkesin daha yüksek güvenlik seviyelerini korumasına yardımcı olmak için paha biçilmezdir.
Saeed, hem kişisel hem de şirket düzeyinde, “Bu yüzden Qualys, Geteri ve daha geniş güvenlik topluluğunu desteklemeye kararlı ve MITER’in hayati çalışmalarını sürdürmeye yardımcı olacak sürdürülebilir finansman seçeneklerini belirlemek ve takip etmek için endüstri ortaklarıyla aktif olarak işbirliği yapıyoruz.”
Hükümet programından bağımsız varlığa?
Sözleşme uzatmasından önce, bazı CVE kurulu üyeleri, CVE girişimini kar amacı gütmeyen bir vakıf haline getirme fikrini, esasen hükümet sözleşmesinden ayırdı ve ona daha bağımsız ve sürdürülebilir bir işletim modeli verdi.
CVE Vakfı’nın mektubuna göre, bu fikir hala tartışılıyor, ancak acil kriz daha fazla planlama için biraz zaman almış olabilir. Bununla birlikte, bu, toplumun federal sözleşme döngülerine bağlı olduğu bu tür önemli bir sistemin kırılganlığıyla ilgili endişelerini ilk kez ifade etmemiştir. Eleştirmenler, gecikmiş veya bırakılmış bir sözleşme gibi tek bir başarısızlık noktasının küresel kırılganlık açıklama koordinasyonunu tehdit edememesi gerektiğini savunuyor.
Sırada ne var?
Artık Miter’in sözleşmesi 11 ay boyunca uzatıldığına göre, CVE programı derhal bir tehditle karşı karşıya değil. Yine de, durum siber güvenlik altyapısının ne kadar desteklendiği ve mevcut finansman modellerinin sürdürülebilir olup olmadığı konusunda yararlı konuşmalar başlattı.
İnsanlar programı uzun vadede nasıl güçlendireceklerine bakarken hem kamu hem de özel sektörden daha fazla endüstri katılımı ve ilgi göreceğiz. İleriye dönük olan daha büyük soru, bu anın daha kararlı bir kuruluma yol açıp açmayacağıdır, bu da kısa vadeli düzeltmelere çok fazla güvenmez.