CVE закрывается — мир остаётся без карты уязвимостей

В конце недели может прекратиться работа одной из самых значимых инициатив в сфере кибербезопасности — программы Common Vulnerabilities and Exposures (CVE), которая более двух десятилетий каталогизирует публично известные уязвимости. По данным корпорации MITRE, федеральное правительство США решило не продлевать контракт, по которому организация управляла программой.

Как сообщили в MITRE, финансирование на развитие, поддержку и модернизацию программы CVE, а также связанных с ней инициатив вроде Common Weakness Enumeration (CWE) , завершится 16 апреля. Это означает не только остановку обновлений, но и последующее отключение официального сайта. Доступ к историческим данным будет сохранён на GitHub, однако новых записей о уязвимостях добавляться не будет.

С момента запуска в 1999 году программа CVE стала краеугольным камнем мировой системы кибербезопасности. Её данные используются компаниями по разработке защитных решений, государственными структурами и критической инфраструктурой для выявления и анализа угроз. Всё это время за координацию проекта отвечала MITRE, финансируемая Национальным управлением кибербезопасности (NCSD), входящим в Агентство по кибербезопасности и защите инфраструктуры США (CISA).

Представители MITRE подчеркнули , что несмотря на завершение контракта, организация остаётся приверженной продолжению программы и ведёт переговоры с Министерством внутренней безопасности США о возможных путях сохранения. В то же время CISA официально подтвердила, что контракт действительно истекает, и заверила, что предпринимаются срочные меры для минимизации последствий.

Почему соглашение не было продлено, остаётся неясным — представители CISA отказались комментировать причины, а также не раскрыли, планируется ли передача инициативы другому подрядчику. В письме членам совета программы директор Центра национальной безопасности MITRE Йосри Барсум предупредил о возможных серьёзных последствиях: от деградации национальных баз уязвимостей до снижения эффективности инструментов обнаружения угроз и реагирования на инциденты.

Ситуация вызывает тревогу у специалистов отрасли. Отмечается, что внезапная приостановка CVE может быстро перерасти в проблему национальной безопасности. Программа лежит в основе многих процессов управления уязвимостями и защиты критически важных систем.

В ответ на этот шаг ИБ-компания VulnCheck, являющаяся органом по нумерации CVE, объявила , что заблаговременно резервирует 1000 CVE на 2025 год, чтобы помочь заполнить образовавшуюся пустоту. Представитель Securonix сказал, что проект CWE жизненно важен для классификации и приоритизации уязвимостей ПО. Остановка программы повлияет на безопасные методы кодирования и оценки рисков.

На фоне происходящего стало известно, что CISA в последнее время завершает сразу несколько контрактов, включая финансирование ключевых структур MS-ISAC и Election ISAC, оказывающих поддержку в сфере кибербезопасности тысячам организаций по всей стране. Это указывает на более масштабные изменения в приоритетах киберполитики США, которые пока остаются без объяснений.

В последний момент ситуация вокруг CVE получила неожиданное продолжение. Агентство CISA заявило , что продлило контракт с MITRE, чтобы избежать приостановки работы программы. Как уточняется в официальном сообщении, 15 апреля поздно вечером было активировано дополнительное финансирование, чтобы «не допустить перерыва в предоставлении критически важных услуг CVE». В агентстве подчеркнули, что программа остаётся приоритетом и выразили благодарность за терпение всем участникам и заинтересованным сторонам.

Параллельно стало известно о создании новой некоммерческой организации — CVE Foundation . Учредили её члены совета программы CVE, чтобы обеспечить независимость и устойчивость проекта. В заявлении фонда отмечается, что создание структуры призвано устранить риски, связанные с зависимостью от единственного подрядчика, и укрепить статус программы как глобального ресурса, управляемого киберсообществом.

Также в контексте происходящего стало известно о запуске новой инициативы со стороны Европейского союза. Агентство ENISA представило европейскую базу уязвимостей — EUVD , которая строится на мультистейкхолдерском подходе. Система будет собирать открытые данные об уязвимостях из различных источников, что, по мнению разработчиков, повысит прозрачность и диверсификацию экосистемы киберугроз.

Несмотря на первоначальную тревогу, CVE-программа продолжает свою работу. А на фоне возникшего кризиса одновременно запускаются механизмы, направленные на повышение устойчивости инфраструктуры уязвимостей на международном уровне.