CVE ще продължи да съществува – засега

Глобалната система за идентификация на публично известни софтуерни уязвимости CVE, все пак ще бъде финансирана и ще продължи да съществува. Федералната агенция CISA удължи договора на досегашния ѝ оператор MITRE с още 11 месеца, само дни преди да изтече.

Първоначално програмата бе застрашена от прекратяване, след като CISA обяви, че няма финансиране за следващата фискална година. Резултатът – предупреждения от индустрията и сериозна несигурност за бъдещето на най-широко използваната референтна база за уязвимости в света.

Системата CVE е в основата на почти всички киберзащитни решения – от скенери и SIEM системи до бази данни и управленски процеси за уязвимости. Затова всяко колебание около нейното финансиране се отразява глобално – включително и върху компании, екипи и експерти и от България, които разчитат на CVE за автоматизирано категоризиране и приоритизация.

Удължаването на договора е временно решение, то печели време, но не гарантира устойчивост. CVE се нуждае от нова, предвидима рамка за финансиране и управление, за да остане независима, надеждна и адаптивна към растящия обем уязвимости – над 29 000 през 2023 г.

До намиране на по-траен модел, компаниите – и у нас, и по света – ще трябва да работят със сценарии за преход, включително локално кеширане на бази, паралелни източници на идентификатори и адаптиране на процесите при евентуален срив или забавяне в поддръжката.