MITRE лишилась финподдержки США программ Common Vulnerabilities and Exposures (CVE) и Common Weakness Enumeration (CWE)

В некоммерческой организации MITRE объявили о приостановке финансирования со стороны правительства США (Министерства внутренней безопасности США) программ по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures) и списка видов уязвимостей CWE (Common Weakness Enumeration), что может негативно отразиться на всей глобальной индустрии кибербезопасности.

Также началось общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то совсем скоро может быть остановлено обновление и присвоение новых CVE в MITRE.

Идентификаторы CVE от MITRE имеют критическое значение для инфраструктуры обеспечения безопасности, так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Основные ИБ‑системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, компаниям по всему миру придётся найти способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.

Назначение CVE уже частично децентрализовано — многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE‑идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE‑номеров. При этом основная работа по выдаче отдельных CVE‑номеров по запросу до сих пор проводилась силами MITRE.

По текущей ситуации в MITRE прогнозируют ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны