Ortak Güvenlik Açıkları ve Exposures (CVE) programı, siber güvenlikteki en merkezi programlardan biridir, bu nedenle Miter’in programı yürütme sözleşmesinin sona erdiği haberi, 15 Nisan’da siber güvenlik topluluğundan şok dalgaları gönderdi.
Ancak, CISA bugün Mither CVE sözleşmesini genişlettiğini açıkladığında, küresel olarak tanınan programın geleceğine ilişkin korkular garanti edildi. Görünüşe göre uzantı 11 aydır, kaynaklar Cyber Express.
Bugünkü bir açıklamada Cyber ExpressABD Siber Güvenlik ve Altyapı Güvenlik Ajansı (CISA) sözcüsü:
“CVE programı siber topluluk ve CISA’nın bir önceliği için paha biçilmezdir. Dün gece CISA, kritik CVE hizmetlerinde hiçbir geçim olmayacağından emin olmak için sözleşmede opsiyon süresini gerçekleştirdi. Ortaklarımızın ve paydaşlarımızın sabrını takdir ediyoruz.”
CVE programının uzun vadeli geleceğinin ne olacağı açık değil-CISA, kendi bütçesine ve personel kesintilerine rağmen onu şirket içinde getirme fikrini oluşturmuştu-ancak en azından şimdilik program olduğu gibi devam edecek.
MITER CVE Sözleşmesi Siber Güvenlik Endişelerini Yükseltiyor
Panik, 15 Nisan’da, Sözleşmenin yakın sona ermesi konusunda uyarıda yer alan Miter’s Miter’s Merkezi Başkan Yardımcısı ve Direktörü Yosry Barsoum’dan CVE Kuruluna bir mektup haberiyle başladı.
Barsoum, “Hizmette bir kırılma meydana gelecekse, ulusal güvenlik açığı veritabanlarının bozulması ve danışmanları, araç satıcıları, olay müdahale işlemleri ve her türlü kritik altyapı da dahil olmak üzere CVE için birden fazla etki bekliyoruz” diye yazdı.
MITER, medya sorularına yanıt olarak bu ifadeyi yayınladı:
“16 Nisan 2025 Çarşamba günü, ortak zayıflık ve maruziyetler (CVE) programını geliştirme, işletme ve modernize etme finansmanı ve ortak zayıflık numaralandırma (CWE) programı gibi ilgili programlar sona erecek. Hükümet, programın programındaki rolünü desteklemek için önemli çaba sarf etmeye devam ediyor ve gişe kalıntıları küresel bir kaynak olarak taahhüt ediyor.”
MITER, programın çok çeşitli siber güvenlik hizmetleri için ne kadar değerli olduğunu belirtti:
“CVE programı, 37 milyar dolardan fazla büyüyen bir siber güvenlik satıcısı pazarını demirliyor ve güvenlik açığı yönetimi, siber tehdit istihbaratı, güvenlik bilgileri ve etkinlik yönetimi ve uç nokta tespiti ve yanıtında satıcı ürünlerine temel veriler sağlıyor.”
Miter, tarihi CVE kayıtlarının GitHub’da https://github.com/cveproject adresinde bulunacağını ve ayrıca resmi cve.org web sitesini ziyaret etmek için daha fazla bilgi arayanları yönlendireceğini söyledi.
Ancak bugün Miter, “Bu sabah sözleşmede hizmeti CVE’ye genişletmek için hareket var” dedi, ancak MITER’in henüz ayrıntılar hakkında bilgi sahibi olmadı.
Doğu: iş riski için ciddi sonuçlar
LinkedIn hakkındaki 15 Nisan’taki bir yazıda, eski CISA direktörü Jen Easterly, Geter Sözleşmesi’nin sona ermesiyle ilgili haberlerin “siber güvenlik topluluğunda haklı olarak alarmlar yükselttiğini söyledi. Bu teknik bir sorun gibi görünse de, iş riski, operasyonel dayanıklılık ve ulusal güvenlik için ciddi etkileri var.”
“CVE sistemi başlıklar yapmayabilir, ancak modern siber güvenliğin en önemli sütunlarından biri” diye ekledi.
Herhangi bir bozulma, Ulusal Standartlar ve Teknoloji Enstitüsü’nde (NIST) Ulusal Güvenlik Açığı Veritabanında (NVD) CVV’lerin işlenmesinde kalıcı bir birikmiş işin ortasında da ortaya çıkacaktır. Geçen yıl 40.000’den fazla yeni güvenlik açığı ile NIST, yeni güvenlik açıklarının hacmiyle mücadele etmeye devam ediyor.
İlgili
Medya Feragatnamesi: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve kullanıcılar buna güvenmeleri için tam sorumluluk taşırlar. Cyber Express, bu bilgileri kullanmanın doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.