Fundação CVE
(thecvefoundation.org)- A CVE Foundation busca construir uma comunidade global confiável e estável para sustentar a operação de longo prazo do Programa CVE
- O maior desafio é migrar o Programa CVE para um modelo de financiamento diversificado e estável que não dependa de uma única fonte de recursos
- Para aumentar a confiança no processo de identificação de vulnerabilidades, a fundação adota participação, colaboração com a comunidade internacional e transparência como meios centrais
- A fundação apoia para que a identificação de vulnerabilidades se torne um processo mais fácil e mais confiável para todos
- A continuidade do Programa CVE depende tanto da estabilização de sua estrutura de financiamento quanto do fortalecimento de sua base de colaboração global
Estabilização da base operacional do Programa CVE
- A CVE Foundation tem como objetivo garantir um futuro estável para o Programa CVE
- O foco atual é apoiar a transição do Programa CVE de uma única fonte de recursos para um modelo de financiamento diversificado e estável
Reforço da confiabilidade na identificação de vulnerabilidades
- A fundação utiliza participação, colaboração com a comunidade internacional e transparência para tornar a identificação de vulnerabilidades mais confiável
- O objetivo é ajudar para que a identificação de vulnerabilidades se torne um processo mais fácil e mais confiável para todos
1 comentários
Opiniões no Hacker News
Pelo teor da atualização, parece que o contrato foi renovado no último minuto
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Sobre os comentários que questionam a legitimidade: há uma publicação no LinkedIn de um dos membros do conselho da CVE. Na verdade, é a primeira pessoa desta lista[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Acho que dá para encontrar mais informações procurando contatos ou canais públicos de outros membros do conselho da CVE
[0]: https://www.cve.org/programorganization/board
Threads relacionadas em andamento:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Acho que já está na hora de as maiores empresas da indústria de software assumirem isso em algum formato de consórcio oficial. Como elas são as maiores beneficiadas, esse modelo faz sentido
As grandes empresas de tecnologia dependem da CVE para a segurança de seus próprios produtos e, como têm receitas enormes e equipes de segurança dedicadas, poderiam bancar facilmente os custos operacionais da CVE. Um modelo de consórcio também permitiria dividir a responsabilidade de forma justa. Responsabilidade compartilhada, benefícios compartilhados; segurança é um problema de todos
De modo geral, advogados e CTOs provavelmente adorariam ver a CVE desaparecer ou passar para as mãos da indústria. Fonte: trabalho há mais de 20 anos na área de segurança
Aquele pacote que 50 mil leetcoders nem conseguiriam criar por conta própria e sem o qual não conseguiriam viver
O que precisamos é de uma rede internacional de informações sobre ameaças cibernéticas, com vários mecanismos de freios, contrapesos e supervisão. Se a pergunta é “quem paga a conta?”, também é preciso perguntar “quem realmente lucra com a indústria de tecnologia?”
Como se trata de segurança, é preciso presumir o pior. Até que a MITRE confirme a transferência de responsabilidade, isso não pode ser considerado legítimo; e, mesmo que confirme, ainda há muito espaço para questionamentos
É engraçado que as pessoas vivem dizendo que o governo também deveria “se mover rápido e quebrar coisas”, como o Facebook, mas esquecem de mencionar que o Facebook pretende gastar US$ 60 bilhões a US$ 65 bilhões este ano nesse processo
Só que, quando é o governo se movendo rápido e quebrando coisas, de algum jeito isso também inclui “custo mínimo”. Isso me lembra aquela frase: “rápido, barato e bom — escolha dois”
Desde que saí da administração de sistemas para o desenvolvimento de software, algumas décadas atrás, não acompanho ativamente vulnerabilidades de segurança. Hoje em dia leio principalmente notícias sobre vulnerabilidades famosas, e vejo CVE com muito mais frequência do que cert
Antigamente eu consultava cert: https://www.kb.cert.org/vuls/ Fiz uma busca rápida agora e ele ainda existe. Qual é a diferença ou a relação entre os dois?
Fico curioso para saber qual era o orçamento da MITRE. O orçamento do programa CVE da CISA não é divulgado separadamente, mas, pelo que vi, dizem que fica na casa de dezenas de milhões de dólares por ano
O programa CVE é importante, mas isso parece exagerado
Se precisamos de um banco de dados descentralizado para esse tipo de dado, talvez blockchain seja mesmo um bom caso de uso
É preciso consenso, precisa ser imutável e precisa ser distribuído. Usuários que precisem do banco de dados da CVE poderiam obter uma cópia do ledger via BitTorrent ou por qualquer outro meio e fazer o parsing de todos os dados ou atualizações. A CVE nem tem tantas atualizações assim, e de qualquer forma tudo precisa ser rastreado permanentemente. Atualizações poderiam ser tratadas adicionando mais uma entrada à chain, e seria difícil para agentes maliciosos alterarem os dados à vontade
Um banco de dados central com mirrors já seria suficiente, e esse modelo funcionou bem até agora. O necessário é permitir que os dados sejam usados e compartilhados livremente e, se possível, que outras organizações também classifiquem vulnerabilidades de software para oferecer algum grau de redundância e replicação
Eu gostaria que fosse verdade, mas há pouquíssima informação concreta. Eles dizem que estão respondendo ao anúncio e também que vêm se preparando há um ano
Se essa última parte tivesse sido realmente planejada com tanto cuidado, provavelmente teriam anunciado algo antes, então fico desconfiado. Aqui parece haver possibilidade de vários esforços se fragmentarem. Seria bom se todos se reunissem em torno de uma única solução, mas não sei se esta é a solução. Uma organização sem fins lucrativos sediada nos EUA talvez não seja a melhor resposta