16 апреля истекает срок госфинансирования программы CVE от НКО MITRE и их партнеров. Это может привести к потере системы идентификации уязвимостей, которая используется в государственном секторе, бизнесе, исследованиях и CERT по всему миру.
Информация о завершении контракта по программам CVE, CWE и другим связанным программам стала известна из утечки письма вице-президента Центра MITRE по нацбезопасности членам совета директоров CVE. Последствия перерыва в обслуживании могут привести к ухудшению качества баз данных, информационных бюллетеней, инструментов информационной безопасности, реагирования на киберинциденты и защите критической инфраструктуры.
Несмотря на это, правительство США продолжает поддерживать роль MITRE в рамках программы CVE, и НКО не отказывается от своих обязательств. За последние 25 лет основным спонсором CVE было Агентство кибербезопасности (CISA) при Министерстве нацбезопасности США. В связи с разрывом контрактов на общую сумму $28 млн с MITRE, НКО вынуждена была сократить штат сотрудников.
MITRE и чиновники работают над решением проблемы, чтобы сохранить CVE-сервис. ИБ-компания VulnCheck зарезервировала 1000 CVE-номеров на 2025 год, но это недостаточно для всех уязвимостей, которые появляются ежегодно в программных продуктах.
Если сервис закроется, база CVE на GitHub перестанет обновляться. В настоящее время база содержит более 274 тыс. записей, и аналитики NIST не справляются с таким объемом. Работа по обработке отчетов о уязвимостях затрудняется, но сторонние специалисты помогают сократить задержку.
Сайт cve.mitre.org пока еще работает, но без дальнейших пояснений.
