CVE не закрывается — критически важную программу спасли в последний момент

Программа CVE, служащая основным мировым механизмом учёта и идентификации уязвимостей в программном обеспечении, неожиданно оказалась на грани приостановки . Однако за день до окончания контракта правительство США всё же одобрило его продление, позволив избежать перебоев в работе этого критически важного ресурса.

Контракт между MITRE и Министерством внутренней безопасности США, по которому с 1999 года велась база данных CVE, не был продлён в установленный срок, что вызвало тревогу в киберсообществе. CISA — Агентство по кибербезопасности и защите инфраструктуры — заявило, что в последний момент приняло решение активировать опцион на продление контракта, тем самым обеспечив непрерывность сервиса.

Одновременно с этим было объявлено о создании новой некоммерческой организации — CVE Foundation, которая возьмёт на себя стратегическую задачу по сохранению и развитию инициативы, обеспечив её независимость от госфинансирования. Фонд сосредоточится исключительно на продолжении работы по присвоению идентификаторов уязвимостям и поддержанию единой базы данных.

Такой шаг назвали важным изменением, позволяющим устранить «единую точку отказа» в глобальной системе управления уязвимостями. До сегодняшнего дня этой точкой выступало финансирование со стороны США, что стало особенно критичным на фоне сокращения расходов и общего ослабления американского влияния на международной арене.

Программа CVE в течение 25 лет служила эталоном для исследователей, правительств и разработчиков во всём мире, предоставляя им надёжный и централизованный источник информации об уязвимостях. С 2023 года MITRE получал около 30 миллионов долларов на поддержку CVE и сопутствующих программ. Вчерашняя новость о возможной приостановке вызвала волну беспокойства и обсуждений в профессиональном сообществе.

Представители недавно созданного фонда уже заявили, что программа не должна зависеть от государственных контрактов, особенно в условиях нестабильности и непрозрачности, с которой, по словам членов совета CVE, проявила себя CISA. Один из участников совета, Питер Аллор, отметил, что ситуация с непродлением контракта была известна всем сторонам заранее, но доведена до сообщества только в последний момент.

Аллор подчеркнул необходимость перемен — как в структуре финансирования, так и в управлении самой программой, которая решает глобальную задачу и не может находиться под полным контролем одной страны. По его словам, сложившаяся ситуация напоминала «игру в курицу» между MITRE и CISA — никто не хотел первым брать на себя ответственность за финансирование.

Пока ещё остаётся неясным, как именно новая организация будет взаимодействовать с MITRE и продолжит ли она процесс перехода управления. Некоторые зарубежные правительственные структуры и частные компании уже начали рассматривать альтернативные пути ведения реестра уязвимостей, что ставит под угрозу единообразие и глобальное доверие к системе.

Основатель Bugcrowd Кейси Эллис отметил, что потенциальный раскол стандартов может подорвать саму суть существования CVE — предоставление общего и универсального идентификатора для каждой уязвимости. Такое развитие событий может создать конкурирующие форматы и затруднить коммуникацию между различными участниками отрасли.

MITRE, в свою очередь, выразил благодарность за поддержку и подтвердил свою приверженность обеспечению кибербезопасности страны. Представители организации пообещали продолжать работу в координации с правительством и сообществом, одновременно участвуя в обсуждениях будущего модели поддержки CVE.

Таким образом, кризис удалось временно купировать (как минимум на 11 месяцев, на которые CISA продлила финансирование), но сам факт его возникновения уже пошатнул уверенность в устойчивости программы. Вопросы о её независимости, структуре управления и будущем распределении ответственности всё ещё остаются открытыми.