Pendanaan pemerintah AS untuk raksasa penelitian nirlaba, Miteri untuk mengoperasikan dan mempertahankan Program Kerentanan dan Paparan Umum (CVE) akan berakhir pada hari Rabu, sebuah perkembangan yang belum pernah terjadi sebelumnya yang dapat mengguncang salah satu pilar dasar dari ekosistem keamanan siber global.
Program CVE berusia 25 tahun ini adalah alat yang berharga untuk manajemen kerentanan, menawarkan standar de facto untuk mengidentifikasi, mendefinisikan, dan membuat katalog cacat keamanan yang diungkapkan secara publik menggunakan ID CVE.
Yosry Barsoum, wakil presiden dan direktur Mitter dari Pusat untuk mengamankan tanah air (CSH), mengatakan pendanaannya untuk “mengembangkan, mengoperasikan, dan memodernisasi CVE dan program terkait, seperti Pencacahan Kelemahan Umum (CWE), akan kedaluwarsa.”
“Jika istirahat dalam layanan terjadi, kami mengantisipasi berbagai dampak pada CVE, termasuk kerusakan database dan nasihat kerentanan nasional, vendor alat, operasi respons insiden, dan segala macam infrastruktur kritis,” kata Barsoum dalam surat yang dikirim ke anggota dewan CVE.
Namun, Barsoum menunjukkan bahwa pemerintah terus “melakukan upaya yang cukup” untuk mendukung peran Miteri dalam program dan bahwa Miter tetap berkomitmen untuk CVE sebagai sumber daya global.
Program CVE diluncurkan pada bulan September 1999 dan telah dijalankan oleh MITER dengan sponsor dari Departemen Keamanan Dalam Negeri AS (DHS) dan Badan Keamanan Cybersecurity dan Infrastructure (CISA).
Menanggapi langkah tersebut, perusahaan cybersecurity Vulncheck, yang merupakan otoritas penomoran CVE (CNA), telah mengumumkan bahwa mereka secara proaktif memesan 1.000 cve untuk 2025 untuk membantu mengisi kekosongan.
“Istirahat layanan kemungkinan akan menurunkan basis data dan nasihat kerentanan nasional,” Jason Soroko, rekan senior di Sectigo, mengatakan dalam sebuah pernyataan yang dibagikan dengan Hacker News.
“Lapisan ini dapat secara negatif mempengaruhi vendor alat, operasi respons insiden, dan infrastruktur kritis secara luas. MITER menekankan komitmennya yang berkelanjutan tetapi memperingatkan dampak potensial ini jika jalur kontrak tidak dipertahankan.”
Tim Peck, peneliti ancaman senior di Securonix, mengatakan kepada Hacker News bahwa selang dapat memiliki konsekuensi besar bagi ekosistem keamanan siber di mana CNA dan pembela mungkin tidak dapat memperoleh atau menerbitkan CVE, menyebabkan keterlambatan dalam pengungkapan kerentanan.
“Selain itu, proyek Enumeration (CWE) umum (CWE) sangat penting untuk klasifikasi dan prioritas kelemahan perangkat lunak,” kata Peck. “Perhentiannya akan memengaruhi praktik pengkodean yang aman dan penilaian risiko. Program CVE adalah infrastruktur mendasar. Bukan hanya hal yang menyenangkan untuk memiliki 'daftar yang dapat dirujuk,' ini adalah sumber utama untuk koordinasi kerentanan, prioritas dan upaya respons di seluruh sektor swasta, pemerintah dan open source.”
