CVE закрывается — мир остаётся без карты уязвимостей
NewsMakerПод ударом – безопасность всего интернета.
В конце недели может прекратиться работа одной из самых значимых инициатив в сфере кибербезопасности — программы Common Vulnerabilities and Exposures (CVE), которая более двух десятилетий каталогизирует публично известные уязвимости. По данным корпорации MITRE, федеральное правительство США решило не продлевать контракт, по которому организация управляла программой.
Как сообщили в MITRE, финансирование на развитие, поддержку и модернизацию программы CVE, а также связанных с ней инициатив вроде Common Weakness Enumeration (CWE) , завершится 16 апреля. Это означает не только остановку обновлений, но и последующее отключение официального сайта. Доступ к историческим данным будет сохранён на GitHub, однако новых записей о уязвимостях добавляться не будет.
С момента запуска в 1999 году программа CVE стала краеугольным камнем мировой системы кибербезопасности. Её данные используются компаниями по разработке защитных решений, государственными структурами и критической инфраструктурой для выявления и анализа угроз. Всё это время за координацию проекта отвечала MITRE, финансируемая Национальным управлением кибербезопасности (NCSD), входящим в Агентство по кибербезопасности и защите инфраструктуры США (CISA).
Представители MITRE подчеркнули , что несмотря на завершение контракта, организация остаётся приверженной продолжению программы и ведёт переговоры с Министерством внутренней безопасности США о возможных путях сохранения. В то же время CISA официально подтвердила, что контракт действительно истекает, и заверила, что предпринимаются срочные меры для минимизации последствий.
Почему соглашение не было продлено, остаётся неясным — представители CISA отказались комментировать причины, а также не раскрыли, планируется ли передача инициативы другому подрядчику. В письме членам совета программы директор Центра национальной безопасности MITRE Йосри Барсум предупредил о возможных серьёзных последствиях: от деградации национальных баз уязвимостей до снижения эффективности инструментов обнаружения угроз и реагирования на инциденты.
Ситуация вызывает тревогу у специалистов отрасли. Отмечается, что внезапная приостановка CVE может быстро перерасти в проблему национальной безопасности. Программа лежит в основе многих процессов управления уязвимостями и защиты критически важных систем.
В ответ на этот шаг ИБ-компания VulnCheck, являющаяся органом по нумерации CVE, объявила , что заблаговременно резервирует 1000 CVE на 2025 год, чтобы помочь заполнить образовавшуюся пустоту. Представитель Securonix сказал, что проект CWE жизненно важен для классификации и приоритизации уязвимостей ПО. Остановка программы повлияет на безопасные методы кодирования и оценки рисков.
На фоне происходящего стало известно, что CISA в последнее время завершает сразу несколько контрактов, включая финансирование ключевых структур MS-ISAC и Election ISAC, оказывающих поддержку в сфере кибербезопасности тысячам организаций по всей стране. Это указывает на более масштабные изменения в приоритетах киберполитики США, которые пока остаются без объяснений.
MITRE считается одной из наиболее авторитетных организаций в области кибербезопасности, поддерживающей широкий спектр программ в интересах обороны, здравоохранения, авиации и других направлений. Потенциальная утрата её роли в CVE — это не просто административный переход, а риск нарушения всей экосистемы отслеживания уязвимостей.
В конце недели может прекратиться работа одной из самых значимых инициатив в сфере кибербезопасности — программы Common Vulnerabilities and Exposures (CVE), которая более двух десятилетий каталогизирует публично известные уязвимости. По данным корпорации MITRE, федеральное правительство США решило не продлевать контракт, по которому организация управляла программой.
Как сообщили в MITRE, финансирование на развитие, поддержку и модернизацию программы CVE, а также связанных с ней инициатив вроде Common Weakness Enumeration (CWE) , завершится 16 апреля. Это означает не только остановку обновлений, но и последующее отключение официального сайта. Доступ к историческим данным будет сохранён на GitHub, однако новых записей о уязвимостях добавляться не будет.
С момента запуска в 1999 году программа CVE стала краеугольным камнем мировой системы кибербезопасности. Её данные используются компаниями по разработке защитных решений, государственными структурами и критической инфраструктурой для выявления и анализа угроз. Всё это время за координацию проекта отвечала MITRE, финансируемая Национальным управлением кибербезопасности (NCSD), входящим в Агентство по кибербезопасности и защите инфраструктуры США (CISA).
Представители MITRE подчеркнули , что несмотря на завершение контракта, организация остаётся приверженной продолжению программы и ведёт переговоры с Министерством внутренней безопасности США о возможных путях сохранения. В то же время CISA официально подтвердила, что контракт действительно истекает, и заверила, что предпринимаются срочные меры для минимизации последствий.
Почему соглашение не было продлено, остаётся неясным — представители CISA отказались комментировать причины, а также не раскрыли, планируется ли передача инициативы другому подрядчику. В письме членам совета программы директор Центра национальной безопасности MITRE Йосри Барсум предупредил о возможных серьёзных последствиях: от деградации национальных баз уязвимостей до снижения эффективности инструментов обнаружения угроз и реагирования на инциденты.
Ситуация вызывает тревогу у специалистов отрасли. Отмечается, что внезапная приостановка CVE может быстро перерасти в проблему национальной безопасности. Программа лежит в основе многих процессов управления уязвимостями и защиты критически важных систем.
В ответ на этот шаг ИБ-компания VulnCheck, являющаяся органом по нумерации CVE, объявила , что заблаговременно резервирует 1000 CVE на 2025 год, чтобы помочь заполнить образовавшуюся пустоту. Представитель Securonix сказал, что проект CWE жизненно важен для классификации и приоритизации уязвимостей ПО. Остановка программы повлияет на безопасные методы кодирования и оценки рисков.
На фоне происходящего стало известно, что CISA в последнее время завершает сразу несколько контрактов, включая финансирование ключевых структур MS-ISAC и Election ISAC, оказывающих поддержку в сфере кибербезопасности тысячам организаций по всей стране. Это указывает на более масштабные изменения в приоритетах киберполитики США, которые пока остаются без объяснений.
MITRE считается одной из наиболее авторитетных организаций в области кибербезопасности, поддерживающей широкий спектр программ в интересах обороны, здравоохранения, авиации и других направлений. Потенциальная утрата её роли в CVE — это не просто административный переход, а риск нарушения всей экосистемы отслеживания уязвимостей.