Обновление: После объявления Фонда CVE (см. ниже) CISA заявила, что правительство США продлевает финансирование, чтобы обеспечить непрерывность работы критически важной программы Common Vulnerabilities and Exposures (CVE) (через Bleeping Computer). Далее следует оригинальная история.
Apple, наряду с другими технологическими компаниями, полагается на программу Common Vulnerabilities and Exposures (CVE) для выявления и отслеживания уязвимостей в своем программном обеспечении. Этот критически важный ресурс кибербезопасности теперь сталкивается с неопределенным будущим после того, как федеральное финансирование было сегодня внезапно прекращено.
В ответ на кризис коалиция давних членов Совета CVE объявила сегодня о создании Фонда CVE, некоммерческой организации, призванной обеспечить дальнейшую работу системы идентификации уязвимостей.
«CVE, как краеугольный камень глобальной экосистемы кибербезопасности, слишком важен, чтобы быть уязвимым самому,» — сказал Кент Лэндфилд, представитель недавно сформированного Фонда. «Специалисты по кибербезопасности по всему миру полагаются на идентификаторы и данные CVE в своей повседневной работе — от инструментов безопасности и рекомендаций до разведки угроз и реагирования. Без CVE защитники находятся в значительно невыгодном положении перед лицом глобальных киберугроз.»
Программа CVE предоставляет стандартизированную систему для идентификации и каталогизации уязвимостей безопасности во всем программном и аппаратном обеспечении, включая macOS, iOS, iPadOS и другие продукты Apple. Когда исследователи безопасности обнаруживают недостатки, им присваиваются уникальные идентификаторы CVE, что позволяет таким компаниям, как Apple, координировать выпуск патчей и обновлений.
Корпорация MITRE, управлявшая программой по контракту с Министерством внутренней безопасности США, подтвердила, что государственное финансирование истекло 16 апреля. Reuters сообщает, что истечение срока действия может быть связано с радикальным сокращением численности федерального правительства, отчасти вызванным Департаментом эффективности государственного управления (DOGE). Агентство по кибербезопасности и защите инфраструктуры США (CISA), которое также подвергается сокращению, заявило, что оно «срочно работает над смягчением последствий», поскольку внезапный разрыв в финансировании угрожает нарушить управление уязвимостями по всему миру.
Эксперты по безопасности предупредили, что без CVE усилия по кибербезопасности столкнутся с «полным хаосом», поскольку общий язык, используемый для обмена информацией об уязвимостях, фактически исчезнет. Один исследователь сравнил это с «внезапным удалением всех словарей».
Недавно созданный Фонд CVE стремится перевести программу на специальную некоммерческую модель, не зависящую от одного государственного спонсора. Организаторы Фонда сообщили, что готовились к этой возможности в течение последнего года.
«Для международного сообщества кибербезопасности этот шаг представляет собой возможность создать управление, которое отражает глобальный характер современного ландшафта угроз,» — заявил Фонд в своем объявлении.
Сокращение финансирования также затрагивает связанную программу Common Weakness Enumeration (CWE), которая помогает таким компаниям, как Apple, выявлять потенциальные проблемы безопасности до того, как они станут уязвимостями.
Ожидается, что Фонд CVE опубликует более подробную информацию о своей структуре и планах финансирования в ближайшие дни. Apple и другие крупные технологические компании, вероятно, сыграют значительную роль в ее поддержке как критически важной части инфраструктуры кибербезопасности.
Примечание: В связи с политическим или социальным характером обсуждения этой темы ветка обсуждения находится на нашем форуме «Политические новости». Все участники форума и посетители сайта могут читать и следить за веткой, но публиковать сообщения могут только участники форума, набравшие не менее 100 сообщений.
