Gary Miliefsky, Yayıncı, Siber Savunma Dergisi
CISA’ya göre, iyi haberler bize bir Windows Yaması gibi geliyor: Salı: Ortak Güvenlik Açıkları ve Maruziyetler programı federal sözleşmesinin on bir ay devam etmesiyle çalışmaya devam edecek. Bununla birlikte, zamanla yeni başlatılan CVE Foundation’a geçiş, https://www.thecvefoundation.org/ adresinde çevrimiçi olarak bulunabilir:
“Başlangıçtan bu yana, CVE programı, sözleşme kapsamında sağlanan gözetim ve yönetim ile ABD hükümet tarafından finanse edilen bir girişim olarak faaliyet gösterdi. Bu yapı programın büyümesini desteklese de, CVE Kurulu üyeleri arasında, küresel olarak güvenilen bir kaynağın tek bir hükümet sponsoruna bağlı olduğu sürdürülebilirliği ve tarafsızlığı konusunda uzun süredir devam eden kaygılar sağladı.
Bu endişe, CVE yönetim kuruluna ABD hükümetinin programı yönetme sözleşmesini yenilemek istemediğini bildiren 15 Nisan 2025 tarihli bir mektubun ardından acil hale geldi. Bu gün gelmeyeceğini umuyor olsak da, bu olasılık için hazırlanıyoruz.
Buna karşılık, uzun süredir aktif CVE kurulu üyelerinin bir koalisyonu, geçen yıl CVE’yi özel, kar amacı gütmeyen bir vakıf haline getirmek için bir strateji geliştirerek geçirdiler. Yeni CVE Foundation, yalnızca yüksek kaliteli güvenlik açığı tanımlama sağlama ve dünya çapında savunucular için CVE verilerinin bütünlüğünü ve kullanılabilirliğini sürdürme görevini sürdürmeye odaklanacak. ”
Buna ek olarak, BleepingComputer.com bu güncellemeyi yönetmenden aldı ve paylaştı:
“Hükümet tarafından alınan eylemler sayesinde, ortak güvenlik açıkları ve maruziyetler için bir mola (CVE®) programı (CVE®) programı ve Ortak Zayıflık Numaraları (CWE ™) programından kaçınıldı. 16 Nisan 2025 Çarşamba sabahı, programları çalıştıran programları korumak için artımlı finansman, bu programların sektöre göre, en son günlerce, en son hükümetin üstesinden gelinmesi ve en son verdiği destek, 24’ün devam etmesi ve 24’ü devam ettiririz. MITER’ın program ve MITER’deki rolünü desteklemek için önemli çabalar CVE ve CWE’ye küresel kaynaklar olarak kendini adamaya devam ediyor. ”
Yosry Barsoum, Başkan Yardımcısı, Direktör, Vatan Güvence Merkezi, Miter
Tam zamanında – küresel siber güvenlik koordinasyonunun temel bir direği olan Ortak Güvenlik Açıkları ve Maruziyetleri (CVE) sistemi kesintisiz devam edecektir. Siber güvenlik liderlerinden (kendim dahil) kamuoyu salgılaması ve ciddi endişelerinden sonra, Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA), CVE operasyonlarında bir geçiş olmamasını sağlamak için Fination’a Fonu genişleteceğini açıkladı.
Açık olalım: CVE sistemi bir lüks değil – bu bir zorunluluktur. Her büyük güvenlik açığı veritabanı, tehdit intel feed, istismar tahmin modeli (EPSS gibi) ve güvenlik açığı yönetim platformu, evrensel referans noktası olarak CVE ID’lerine dayanır. Onsuz, tüm endüstri kör olarak gezinecekti.
Şahsen CVE/Oval Danışma Kurulu’nda hizmet verdim. Endüstrinin bu programa ne kadar bağlı olduğunu gördüm-CISA’nın KEV listesinden kurumsal risk panolarına, açık kaynaklı yama iş akışlarına, first.org’un EPSS’ye. Bu sadece uyumluluk ile ilgili değil. Gerçek zamanlı, eyleme geçirilebilir savunma ve tüm siber güvenlik endüstrimiz buna bağlı.
Bu yüzden Miter’in finansmanı haberi Cliff Infosec dünyası aracılığıyla şok dalgaları gönderdi. Ancak Cisa’nın Swift Action sayesinde geçici bir köprü var.
Şimdi daha büyük zorluk geliyor: CVE ve CWE ve Oval gibi ilgili programlar için sürdürülebilir, uzun vadeli destek sağlamak. Bunlar isteğe bağlı girişimler değildir. Siber savunma omurgasının bir parçasıdır – ve bugün ve yarının tehditleri için finanse edilmeli, korunmalı ve modernize edilmelidirler.
Şimdilik, devreye girdiği için Cisa’ya şapka çıkar. Ama baskıyı devam ettirelim-son dakika kurtarmalara değil kalıcı çözümlere ihtiyacımız var. Belki CVE Foundation çağrının cevabı olacaktır.
Gary Miliefsky
Yayıncı, @cyberDefensemag
@Miliefsky | www.cyberfensemagazine.com
Yazar hakkında
Gary Miliefsky, Siber Savunma Dergisi’nin yayıncısı ve ünlü bir siber güvenlik uzmanı, girişimci ve açılış konuşmacısıdır. Siber Savunma Medya Grubu’nun kurucusu ve CEO’su olarak, siber güvenlik manzarasını önemli ölçüde etkiledi. Onlarca yıllık deneyime sahip olan Gary, ABD İç Güvenlik Bakanlığı’nın kurucu üyesi, ulusal bilgi güvenliği grubu üyesi ve hükümet ve özel sektör kuruluşlarına aktif danışmandır. İçgörüleri Forbes, CNBC ve The Wall Street Journal’da ve CNN, Fox News, ABC, NBC ve uluslararası medya kuruluşlarında yer aldı ve onu gelişmiş siber tehditler ve yenilikçi savunma stratejileri konusunda güvenilir bir otorite haline getirdi. Gary’nin siber güvenliğe olan bağlılığı, halkı eğitmeye, siber güvenlik alanındaki genç kadınlar için bir burs programı yürütmeye ve gelişen siber risklere karşı korumak için en yeni teknolojilere yatırım yapmak ve geliştirmek için uzanıyor.