Programa CVE corre risco de encerramento antecipado após falha na renovação de contrato com o DHS

 (csoonline.com)
2 pontos por GN⁺ 2025-04-17 | 1 comentários | Compartilhar no WhatsApp
  • O programa CVE da MITRE é um elemento central da cibersegurança e desempenha um papel importante na identificação e gestão de vulnerabilidades de segurança
  • A CISA estendeu o contrato com a MITRE para evitar a interrupção do programa CVE
  • A extensão do contrato deve durar 11 meses e conta com o apoio da comunidade cibernética global
  • O fim do contrato pode ter grande impacto no ecossistema de cibersegurança e pode exigir soluções alternativas
  • O setor privado, como a VulnCheck, está tentando preencher uma possível lacuna deixada pelo programa CVE

Crise no fim do contrato entre o DHS e a MITRE

  • O programa CVE da MITRE é uma importante base de dados de cibersegurança mantida há 25 anos
  • Como o DHS não renovou o contrato, o programa correu o risco de ser interrompido
  • A CISA evitou a interrupção do programa por meio de uma extensão contratual

A importância do programa CVE

  • O programa CVE é a base do ecossistema global de cibersegurança e é essencial para identificar e gerenciar vulnerabilidades de segurança
  • NIST e CISA fornecem informações adicionais, mas a MITRE é a principal fonte dos registros CVE
  • A interrupção do programa pode ter grande impacto na gestão global de segurança

Contexto do fim do contrato

  • O motivo da decisão do DHS de encerrar o contrato não está claro
  • Cortes orçamentários do governo são apontados como a principal causa
  • O custo operacional do programa CVE é relativamente baixo

Perspectivas futuras

  • A MITRE não deve adicionar novos registros CVE a partir de 16 de abril
  • Os registros existentes continuarão disponíveis no GitHub
  • Há possibilidade de o setor privado oferecer soluções alternativas

Notícias relacionadas

  • Especialistas afirmam que o financiamento da MITRE ainda permanece incerto
  • O novo malware ResolverRAT tem como alvo organizações de saúde e farmacêuticas em todo o mundo
  • Notícias recentes sobre patches relacionados a vulnerabilidades no Windows e em aplicativos SAP

Leituras relacionadas

1 comentários

 
GN⁺ 2025-04-17
Comentários do Hacker News
  • Há discussões em andamento sobre a CVE Foundation
  • O contrato com a MITRE foi renovado
  • Membros do CVE Board estão tentando lançar uma nova CVE Foundation para garantir a estabilidade de longo prazo e a independência do programa CVE
  • Parece que, por causa da separação entre departamentos dentro do DHS, o lado negativo desse problema não foi plenamente percebido
  • Aparentemente, um alto escalão da área financeira que não reconheceu a importância do programa CVE tomou a decisão errada
  • Muitos fundadores do Y Combinator e leitores do Hacker News tornaram esse problema possível e agora estão questionando o resultado disso
  • Isso leva a pensar na possibilidade de que outras coisas importantes para a sociedade tenham desaparecido silenciosamente nas últimas semanas
  • Havia problemas importantes na implementação atual do CVE. Em especial, script kiddies e ferramentas de IA estavam enchendo o banco de dados com spam, enquanto projetos que levam segurança a sério quase não conseguiam impactar as pontuações
  • Quem gerencia CVEs em software OSS já sabe que os cortes de verba do NVD vêm acontecendo há mais de um ano
  • O NIST mantém o National Vulnerability Database (NVD), que é um elemento central da infraestrutura nacional de cibersegurança
  • Com o aumento do software, as vulnerabilidades estão aumentando, e as mudanças no apoio entre instituições estão dificultando o tratamento dessas vulnerabilidades
  • Como solução de longo prazo, está sendo considerada a criação de um consórcio entre a indústria, o governo e outras organizações interessadas
  • O Yocto Project enviou uma carta aberta ao CVE Project e às CNAs, expressando preocupação de que os acontecimentos recentes tenham afetado negativamente a identificação e a correção de vulnerabilidades no projeto
  • Há 5 anos, o diretor do CERT da Carnegie Mellon anunciou o backlog de CVEs e os problemas de falta de recursos, e muitas vulnerabilidades reportadas não estão recebendo números CVE
  • O contrato mais recente para a participação da MITRE nos programas CVE e CWE foi firmado por USD$29.1m de 17 de abril de 2024 a 16 de abril de 2025, com possibilidade de extensão até um máximo de USD$57.8m
  • Ainda não foi decidido se o contrato será estendido de 16 de abril de 2025 a 16 de abril de 2026, e também não há uma abordagem pública para um contrato alternativo