
Financiación del gobierno de los EE. UU. Para el gigante de la investigación sin fines de lucro Miter para operar y mantener sus vulnerabilidades y exposiciones comunes (CVe) El programa expirará el miércoles, un desarrollo sin precedentes que podría sacudir uno de los pilares fundamentales del ecosistema global de ciberseguridad.
El programa CVE de 25 años es una herramienta valiosa para la gestión de vulnerabilidades, que ofrece un estándar de facto para identificar, definir y catalogar públicamente fallas de seguridad utilizando IDS CVE. El programa ha enumerado más de 274,000 registros CVE hasta la fecha.
Yosry Barsoum, vicepresidente de Miter y director del Centro para asegurar la patria (CSH), dijo que su financiación para “desarrollar, operar y modernizar los programas CVE y relacionados, como la enumeración de debilidad común ((CWE), caducará “.
“Si se produjera una ruptura en el servicio, anticipamos múltiples impactos a CVE, incluido el deterioro de las bases de datos de vulnerabilidad nacional y los avisos, proveedores de herramientas, operaciones de respuesta a incidentes y todo tipo de infraestructura crítica”, Barsoum anotado En una carta enviada a los miembros de la Junta CVE.
Sin embargo, Barsoum señaló que el gobierno continúa “haciendo esfuerzos considerables” para apoyar el papel de Miter en el programa y que Miter sigue comprometido con CVE como un recurso global.
El programa CVE se lanzó en septiembre de 1999 y ha sido administrado por Miter con el patrocinio del Departamento de Seguridad Nacional de los Estados Unidos (DHS) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA).
En respuesta al movimiento, la firma de ciberseguridad Vulncheck, que es una autoridad de numeración de CVE (CNA), tiene anunciado que está reservando proactivamente 1,000 CVE para 2025 para ayudar a llenar el vacío.
“Un descanso de servicio probablemente degradaría las bases y avisos de datos de vulnerabilidades nacionales”, dijo Jason Soroko, miembro senior de Sectigo, en un comunicado compartido con Hacker News.
“Este lapso podría afectar negativamente a los proveedores de herramientas, las operaciones de respuesta a incidentes e infraestructura crítica ampliamente. Miter enfatiza su compromiso continuo, pero advierte sobre estos impactos potenciales si la vía de contratación no se mantiene”.
Tim Peck, investigador senior de amenazas de Securonix, le dijo a The Hacker News que un lapso podría tener consecuencias masivas para el ecosistema de ciberseguridad donde los CNA y los defensores pueden no poder obtener o publicar CVE, causando demoras en las revelaciones de vulnerabilidad.
“Además, el proyecto de enumeración de debilidad común (CWE) es vital para la clasificación y priorización de la debilidad del software”, dijo Peck. “Su detención afectaría las prácticas de codificación seguros y las evaluaciones de riesgos. El programa CVE es una infraestructura fundamental. No es solo un agradable tener una” lista referenciable “, es un recurso principal para la coordinación de vulnerabilidad, los esfuerzos de priorización y respuesta en el sector privado, el gobierno y la fuente abierta”.





