Avrupa Birliği Siber Güvenlik Ajansı (ENISA), BT ürün ve hizmetlerinde yeni açıklanan siber güvenlik açıkları hakkında “toplu, güvenilir ve eyleme geçirilebilir” bilgiler sağlamak için bir Avrupa Birliği Güvenlik Açığı Veritabanı’nı (EUVD) piyasaya sürdü.
NIS2 Direktifi tarafından zorunlu kılınan EUVD, AB Üyesi Ulusal Bilgisayar Güvenliği Olay Ekipleri (CSIRT’ler), endüstri tehdidi araştırmacıları ve MIERS CVE programı da dahil olmak üzere diğer güvenlik açığı veritabanları gibi kaynaklardan halka açık bilgileri toplamak için tasarlanmıştır.
Enisa, bu hedefe ulaşmak için platformunu, daha iyi analize izin vereceğine ve topluluğun güvenlik açıklarını ilişkilendirmesine yardımcı olacağına inandığı birbirine bağlı bir veritabanı olarak bütünsel bir yaklaşım üzerine inşa ettiğini söyledi. Bunun nihayetinde onu daha güvenilir, şeffaf ve daha geniş bir bilgi kaynağı haline getireceğini söyledi.
Avrupa Komisyonu Teknoloji Egemenliği, Güvenlik ve Demokrasi Başkan Yardımcısı Henna Virkkunen, “AB güvenlik açığı veritabanı Avrupa’nın güvenliğini ve esnekliğini güçlendirmek için önemli bir adımdır” dedi.
“AB piyasasıyla ilgili güvenlik açığı bilgilerini bir araya getirerek, siber güvenlik standartlarını artırıyoruz, hem özel hem de kamu sektörü paydaşlarının ortak dijital alanlarımızı daha fazla verimlilik ve özerklikle daha iyi korumalarını sağlıyoruz.”
ENISA İcra Direktörü Juhan Lepassaar şunları ekledi: “Enisa, NIS2 direktifinden güvenlik açığı veritabanı gereksiniminin uygulanmasıyla bir kilometre taşına ulaşıyor. AB artık güvenlik açıklarının ve onlarla ilişkili risklerin yönetimini önemli ölçüde iyileştirmek için tasarlanmış temel bir araçla donatılmıştır.
“Veritabanı, etkilenen BİT ürün ve hizmetlerinin tüm kullanıcılarına şeffaflık sağlar ve hafifletme önlemleri bulmak için etkili bir bilgi kaynağı olarak duracaktır.”
MITER CVE programı
EUVD’nin lansmanı, güvenlik topluluğunun, son yirmi yılda güvenlik dünyasında bir fikstür haline gelen ABD hükümet destekli ve fonlu bir kaynak olan Miter’in uzun süredir devam eden CVE programının ölüme yakın deneyimi ile sarsılmasından sadece haftalar geliyor.
Her ne kadar Miter’in finansmanı, sonunda ABD yetkilileri tarafından son dakikada restore edilmiş olsa da, 24 saatlik belirsizlik çok fazla ruh arayışına neden oldu ve birçok siber profesyonel, sonuçta tek bir hükümet tarafından desteklenen bir programa alternatifler fikrini düşünmeye veya tartışmaya başladı.
EUVD ABD programını değiştirmek için tasarlanmamış olmasına rağmen, Enisa, geliştirilmesi konusunda MITER ile çalıştığını ve finansman krizinin EUVD projesi üzerindeki etkisini anlamak için kar amacı gütmeyen kuruluşla birlikte çalışmaya devam ettiğini söyledi.
Şimdilik, ortak güvenlik açıkları ve maruziyetler (CVE), güvenlik açıklarını açıklayanlar tarafından sağlanan veriler ve siber güvenlik ve altyapı güvenlik ajansının (CISA’nın) bilinen istismar edilmiş güvenlik açıkları katalogu gibi diğer kaynaklar tarafından sağlanan veriler otomatik olarak EUVD’ye EUVD’ye aktarılacaktır.
Örneğin, Winsock için Windows yardımcı fonksiyon sürücüsünde-bu hafta Salı günü açıklanan bir ayrıcalık artış kırılganlığı olan CVE-2025-32709, EUVD’de EUVD-2025-14439 ataması ile görünür.
Hackuity’deki strateji başkan yardımcısı Sylvain Cortes şunları söyledi: “Enisa’nın yeni EUVD’si, MITER’in CVE programı etrafındaki son finansman sorunlarını dikkate aldığınızda iyi bir girişim.
“Yeni sözleşmenin 10 ay içinde sona ermesinden sonra, MITER veritabanının var olmaya devam edip etmeyeceği konusunda hala bir belirsizlik var, bu nedenle bir Avrupa seçeneğine sahip olmak, endüstrinin bir güvenlik açığı zenginleştirme kaynağına daha az bağımlı olabileceği anlamına geliyor. [the US National Vulnerability Database] geçmişte birikmiş işler yaşadı.
Cortes, “Nihayetinde, güvenilir ve açık olan tüm güvenlik açıkları için bir kaynağa ihtiyacımız var ve yeni EUVD vaatlerinin bunu sağlayacağını umuyoruz” dedi.
Sysdig’deki siber güvenlik stratejisti Crystal Morin, belirsiz bir gelecekte küresel siber güvenliği güçlendirmek için devam eden çabanın bir parçası olarak lansmanı da memnuniyetle karşıladı. EUVD’nin CVE programını tamamlayacağını umduğunu söyledi.
“Her ikisine de sahip olmak, CVE taleplerini ele alan daha fazla kuruluş ve nihayetinde daha hızlı kamu açıklaması anlamına geliyor” dedi.
“Güvenlik ekipleri için EUVD, güvenlik açığı zekası için başka bir güvenilir kaynaktır. Güvenlik açığı gönderimleri kolaylaştırıldığı sürece – sadece bir programa gönderilir – çoğaltma ve karışıklıktan kaçınır ve hız ve esneklik kazanırız.”