CISA, ABD hükümetinin kritik ortak güvenlik açıkları ve maruziyetleri (CVE) programı ile ilgili süreklilik sorunu sağlamak için finansman genişlettiğini söyledi.
ABD Siber Güvenlik Ajansı BleepingComputer’a verdiği demeçte, “CVE programı siber topluluk ve CISA’nın bir önceliği için paha biçilmezdir.” Dedi. “Dün gece CISA, kritik CVE hizmetlerinde bir geçiş olmayacağından emin olmak için sözleşmedeki opsiyon süresini gerçekleştirdi. Ortaklarımızın ve paydaşlarımızın sabrını takdir ediyoruz.”
Duyuru, MITER Başkan Yardımcısı Yosry Barsoum’un CVE ve CWE programları için hükümet finansmanının 16 Nisan’da sona erecek ve potansiyel olarak siber güvenlik endüstrisinde yaygın bir bozulmaya yol açacak bir uyarı izliyor.
Barsoum, “Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının ve danışmanların, araç satıcılarının, olay müdahale işlemlerinin ve her türlü kritik altyapının bozulması da dahil olmak üzere CVVE için birden fazla etki bekliyoruz.” Dedi.
MITER, ABD İç Güvenlik Bakanlığı’nın (DHS) ABD Ulusal Siber Güvenlik Bölümü’nden finansmanla, güvenlik açıklarını tartışırken doğruluk, netlik ve paylaşılan standartlar sağlayan yaygın olarak benimsenen bir program olan CVE’yi korur.
Bir MITER sözcüsü, bugün daha önce BleepingComputer tarafından temasa geçtiğinde hemen yorum yapmak için mevcut değildi.
Yeni başlatılan CVE Foundation
CISA’nın açıklanmasından önce, bir grup CVE kurulu üyesi, CVE programının, ABD hükümetinin programı yönetme sözleşmesini yenileyebileceği uyarısı ışığında CVE programının bağımsızlığını güvence altına almak için kurulan kar amacı gütmeyen bir kuruluş olan CVE Vakfı’nın başlatıldığını duyurdu.
Çarşamba günü basın açıklamasında, “Kuruluşundan bu yana, CVE programı ABD hükümet tarafından finanse edilen bir girişim olarak faaliyet gösterdi, sözleşme kapsamında gözetim ve yönetim ile.” Dedi. Diyerek şöyle devam etti: “Bu yapı programın büyümesini desteklese de, CVE Kurulu üyeleri arasında, küresel olarak güvenilen bir kaynağın tek bir hükümet sponsoruna bağlı olmasının sürdürülebilirliği ve tarafsızlığı konusunda uzun süredir devam eden kaygıları da artırdı.”
Geçen yıl boyunca, lansmana katılan bireyler, programı bu özel vakıfa dönüştürmek için bir strateji geliştirerek, “güvenlik açığı yönetimi ekosisteminde tek bir başarısızlık noktasını” ortadan kaldırıyor ve “CVE programının küresel olarak güvenilir, toplum odaklı bir inisiyatif olmasını” sağlamak.
CVE Foundation, önümüzdeki günlerde geçiş planlaması hakkında daha fazla bilgi yayınlamayı planlarken, özellikle CISA’nın MITER’in sözleşmesi için finansmanın genişletildiğini doğruladığı düşünüldüğünde, bir sonraki adımlar belirsizliğini korumaktadır.
Avrupa Birliği Siber Güvenlik Ajansı (ENISA) ayrıca “birden fazla kaynaktan halka açık güvenlik açığı bilgilerini toplayarak çok paydaşlı bir yaklaşımı benimseyen” bir Avrupa güvenlik açığı veritabanı (EUVD) başlattı.