1 pontos por GN⁺ 2025-04-17 | 1 comentários | Compartilhar no WhatsApp
  • A CVE Foundation busca construir uma comunidade global confiável e estável para sustentar a operação de longo prazo do Programa CVE
  • O maior desafio é migrar o Programa CVE para um modelo de financiamento diversificado e estável que não dependa de uma única fonte de recursos
  • Para aumentar a confiança no processo de identificação de vulnerabilidades, a fundação adota participação, colaboração com a comunidade internacional e transparência como meios centrais
  • A fundação apoia para que a identificação de vulnerabilidades se torne um processo mais fácil e mais confiável para todos
  • A continuidade do Programa CVE depende tanto da estabilização de sua estrutura de financiamento quanto do fortalecimento de sua base de colaboração global

Estabilização da base operacional do Programa CVE

Reforço da confiabilidade na identificação de vulnerabilidades

  • A fundação utiliza participação, colaboração com a comunidade internacional e transparência para tornar a identificação de vulnerabilidades mais confiável
  • O objetivo é ajudar para que a identificação de vulnerabilidades se torne um processo mais fácil e mais confiável para todos

1 comentários

 
GN⁺ 2025-04-17
Opiniões no Hacker News
  • Pelo teor da atualização, parece que o contrato foi renovado no último minuto
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • Há alguma fonte que não seja a Forbes confirmando isso?
  • Sobre os comentários que questionam a legitimidade: há uma publicação no LinkedIn de um dos membros do conselho da CVE. Na verdade, é a primeira pessoa desta lista[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    Acho que dá para encontrar mais informações procurando contatos ou canais públicos de outros membros do conselho da CVE
    [0]: https://www.cve.org/programorganization/board

  • Threads relacionadas em andamento:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Acho que já está na hora de as maiores empresas da indústria de software assumirem isso em algum formato de consórcio oficial. Como elas são as maiores beneficiadas, esse modelo faz sentido
    As grandes empresas de tecnologia dependem da CVE para a segurança de seus próprios produtos e, como têm receitas enormes e equipes de segurança dedicadas, poderiam bancar facilmente os custos operacionais da CVE. Um modelo de consórcio também permitiria dividir a responsabilidade de forma justa. Responsabilidade compartilhada, benefícios compartilhados; segurança é um problema de todos

    • Haha, para começo de conversa, a CVE foi criada porque a indústria se recusava a rastrear e relatar vulnerabilidades de forma consistente e transparente. Quando se dá escolha, as empresas quase sempre pegam o caminho mais fácil, e, sem responsabilização externa, os programas de gestão de vulnerabilidades podem regredir décadas, não apenas alguns anos
      De modo geral, advogados e CTOs provavelmente adorariam ver a CVE desaparecer ou passar para as mãos da indústria. Fonte: trabalho há mais de 20 anos na área de segurança
    • Já que as maiores empresas da indústria de software vão entrar em cena, seria bom se também jogassem pelo menos 5 dólares para o desenvolvedor que mantém aquele pacote open source do qual a sua empresa de 1 trilhão de dólares depende
      Aquele pacote que 50 mil leetcoders nem conseguiriam criar por conta própria e sem o qual não conseguiriam viver
    • Em questões de segurança, o último grupo em que eu confiaria é a Big Tech dos EUA. Consórcio ou não, essa ideia não tem futuro
      O que precisamos é de uma rede internacional de informações sobre ameaças cibernéticas, com vários mecanismos de freios, contrapesos e supervisão. Se a pergunta é “quem paga a conta?”, também é preciso perguntar “quem realmente lucra com a indústria de tecnologia?”
  • Como se trata de segurança, é preciso presumir o pior. Até que a MITRE confirme a transferência de responsabilidade, isso não pode ser considerado legítimo; e, mesmo que confirme, ainda há muito espaço para questionamentos

  • É engraçado que as pessoas vivem dizendo que o governo também deveria “se mover rápido e quebrar coisas”, como o Facebook, mas esquecem de mencionar que o Facebook pretende gastar US$ 60 bilhões a US$ 65 bilhões este ano nesse processo
    Só que, quando é o governo se movendo rápido e quebrando coisas, de algum jeito isso também inclui “custo mínimo”. Isso me lembra aquela frase: “rápido, barato e bom — escolha dois”

  • Desde que saí da administração de sistemas para o desenvolvimento de software, algumas décadas atrás, não acompanho ativamente vulnerabilidades de segurança. Hoje em dia leio principalmente notícias sobre vulnerabilidades famosas, e vejo CVE com muito mais frequência do que cert
    Antigamente eu consultava cert: https://www.kb.cert.org/vuls/ Fiz uma busca rápida agora e ele ainda existe. Qual é a diferença ou a relação entre os dois?

    • A maior diferença é que a CVE foi encerrada ontem pelo governo dos EUA sem aviso prévio, e o programa termina hoje
  • Fico curioso para saber qual era o orçamento da MITRE. O orçamento do programa CVE da CISA não é divulgado separadamente, mas, pelo que vi, dizem que fica na casa de dezenas de milhões de dólares por ano
    O programa CVE é importante, mas isso parece exagerado

    • São US$ 40 milhões por ano
  • Se precisamos de um banco de dados descentralizado para esse tipo de dado, talvez blockchain seja mesmo um bom caso de uso
    É preciso consenso, precisa ser imutável e precisa ser distribuído. Usuários que precisem do banco de dados da CVE poderiam obter uma cópia do ledger via BitTorrent ou por qualquer outro meio e fazer o parsing de todos os dados ou atualizações. A CVE nem tem tantas atualizações assim, e de qualquer forma tudo precisa ser rastreado permanentemente. Atualizações poderiam ser tratadas adicionando mais uma entrada à chain, e seria difícil para agentes maliciosos alterarem os dados à vontade

    • Não é preciso consenso, nem precisa ser imutável. Isso é apenas dados consultivos. Se algum proprietário censurar ou manipular os dados de CVE no próprio repositório, não ganha nada além de irritar os usuários
      Um banco de dados central com mirrors já seria suficiente, e esse modelo funcionou bem até agora. O necessário é permitir que os dados sejam usados e compartilhados livremente e, se possível, que outras organizações também classifiquem vulnerabilidades de software para oferecer algum grau de redundância e replicação
  • Eu gostaria que fosse verdade, mas há pouquíssima informação concreta. Eles dizem que estão respondendo ao anúncio e também que vêm se preparando há um ano
    Se essa última parte tivesse sido realmente planejada com tanto cuidado, provavelmente teriam anunciado algo antes, então fico desconfiado. Aqui parece haver possibilidade de vários esforços se fragmentarem. Seria bom se todos se reunissem em torno de uma única solução, mas não sei se esta é a solução. Uma organização sem fins lucrativos sediada nos EUA talvez não seja a melhor resposta