Fundação CVE

 (thecvefoundation.org)
1 pontos por GN⁺ 2025-04-17 | 1 comentários | Compartilhar no WhatsApp
  • A CVE Foundation foi criada para garantir a sustentabilidade de longo prazo e a independência do CVE Program
  • O CVE Program tem atuado como um pilar importante da infraestrutura global de cibersegurança há 25 anos
  • Com o fim do contrato com o governo dos EUA, surgiu a necessidade de uma operação independente do CVE Program
  • Como organização sem fins lucrativos, a CVE Foundation continuará fornecendo identificação de vulnerabilidades de alta qualidade
  • Isso oferece uma oportunidade importante para a comunidade internacional de cibersegurança

Contexto da criação da CVE Foundation

  • A CVE Foundation foi oficialmente estabelecida, criando a base para garantir a sustentabilidade de longo prazo e a independência do CVE Program
  • O CVE Program era operado com financiamento do governo dos EUA, mas surgiram preocupações sobre uma estrutura dependente do patrocínio de um único governo

Importância do CVE Program

  • O CVE é um elemento central do ecossistema global de cibersegurança, sendo um recurso importante usado diariamente por profissionais de segurança
  • Os identificadores e dados CVE são essenciais para ferramentas de segurança, alertas, inteligência de ameaças e resposta

Papel da CVE Foundation

  • A CVE Foundation elimina um ponto único de falha no ecossistema de gerenciamento de vulnerabilidades e garante que o CVE Program continue sendo uma iniciativa orientada pela comunidade e confiável globalmente
  • Ela oferece a oportunidade de estabelecer uma governança adequada para a comunidade internacional de cibersegurança

Próximos passos

  • A CVE Foundation fornecerá informações sobre sua estrutura, plano de transição e oportunidades de participação da comunidade
  • Para mais informações ou dúvidas, é possível entrar em contato pelo e-mail info@thecvefoundation.org

Leituras relacionadas

1 comentários

 
GN⁺ 2025-04-17
Comentários do Hacker News
  • Compartilha um link para uma publicação no LinkedIn de um membro do conselho do CVE e menciona que provavelmente também seria possível encontrar informações relacionadas em dados de contato de outros membros do conselho e em plataformas de transmissão
  • Apresenta uma correção informando que o contrato foi renovado no último momento
  • Acha que chegou a hora de as principais empresas da indústria de software se mobilizarem por meio de um consórcio oficial
    • Esse modelo faz sentido porque são elas que mais se beneficiam
    • As grandes empresas de tecnologia protegem seus próprios produtos por meio do CVE
    • Elas têm receitas enormes e equipes de segurança dedicadas, então podem sustentar facilmente a operação do CVE
    • Uma abordagem de consórcio distribui a responsabilidade de forma justa
    • Segurança é problema de todos
  • Compartilha um link para uma thread relacionada que ainda está em andamento
  • Como se trata de um problema de segurança, é preciso assumir o pior cenário possível e considerar que não é legítimo até que a MITRE confirme a transição
  • Tem curiosidade sobre o orçamento da MITRE e viu que o financiamento da CISA para o programa CVE não é claramente separado, mas fica na casa de dezenas de milhões de dólares por ano
  • Desde que migrou da administração de sistemas para o desenvolvimento de software, não monitora mais vulnerabilidades de segurança ativamente e hoje em dia lê notícias sobre vulnerabilidades de alto perfil
    • Vê CVE com muito mais frequência do que cert
    • Tem curiosidade sobre a diferença e a relação entre cert e CVE
  • Acha que, se essa situação se mantiver, o resultado será melhor do que antes
  • Como o comunicado à imprensa traz pouquíssima informação, há muitos comentários negativos, mas apoia porque há motivos para acreditar que seja legítimo
  • Espera que essa situação seja legítima
    • Dizem que estão respondendo ao anúncio e que vêm planejando isso há um ano, mas suspeita que, se a parte final tivesse sido realmente bem planejada, teriam anunciado antes
    • Acha que existe a possibilidade de fragmentação do esforço
    • Seria bom se todos apoiassem uma solução única, mas não tem certeza de que esta seja essa solução
    • Uma organização sem fins lucrativos sediada nos EUA talvez não seja a melhor solução possível