Finansowanie przez Rząd USA Programu Cyberbezpieczeństwa CVE ma Wygasnąć

Program Common Vulnerabilities and Exposures (CVE) stoi w obliczu niepewnej przyszłości, ponieważ rząd USA nie odnowił swojego kontraktu na wsparcie tej inicjatywy przez organizację non-profit MITRE, a ten wygasa dzisiaj, 16 kwietnia. Eksperci ds. cyberbezpieczeństwa teraz ostrzegają przed potencjalnymi globalnymi konsekwencjami związanymi z bezpieczeństwem.

Program CVE, uruchomiony w 1999 roku, został zaprojektowany w celu opracowania systemu identyfikacyjnego i pomocy inżynierom oraz organizacjom w identyfikacji, aplikacji łatek i łagodzeniu podatności na całym świecie. Rozważając kod, który zaczyna się od liter „CVE”, po których następuje rok i unikalny numer – tak jak CVE-2024-50050 znaleziony w Frameworku AI Meta lub zerodniowa podatność Chrome CVE-2025-2783 wykryta kilka tygodni temu – program organizuje i kontroluje globalne podatności.

Corporacja MITRE utrzymuje i obsługuje system CVE od momentu swojego powstania, a od 25 lat otrzymuje stałe wsparcie finansowe od Departamentu Bezpieczeństwa Krajowego (DHS) oraz Agencji Bezpieczeństwa Cybernetycznego i Infrastruktury (CISA).

Wewnętrzny list wysłany przez Yosry Barsouma, Wiceprezesa i Dyrektora Centrum Bezpieczeństwa Krajowego (CHS) w MITRE, do członków zarządu CVE został przeciekł i udostępniony publicznie na Bluesky.

„Chcemy zwrócić Twoją uwagę na potencjalnie ważny problem związany z trwałym wsparciem MITRE dla CVE,” – mówi dokument. „W środę, 16 kwietnia 2025 roku, obecna ścieżka kontraktowa dla MITRE w celu rozwijania, obsługi i modernizacji CVE oraz kilku innych powiązanych programów, takich jak CWE, wygaśnie.”

The Verge potwierdziło informacje ujawnione na platformie mediów społecznościowych i skontaktowało się z Barsoumem, który zapewnił, że rząd podejmuje wysiłki, aby nadal wspierać MITRE, i że w międzyczasie program Common Weakness Enumeration (CWE) – który skupia się na lukach w oprogramowaniu i sprzęcie – również zostanie dotknięty.

Badacz cyberbezpieczeństwa, Łukasz Olejnik, podzielił się swoimi obawami na temat X. „Administracja Trumpa skutecznie (przynajmniej tymczasowo) sparaliżuje globalny system cyberbezpieczeństwa” – napisał w swoim poście. „Konsekwencją będzie rozpad koordynacji między dostawcami, analitykami i systemami obronnymi – nikt nie będzie pewny, czy odnosi się do tego samego zagrożenia. Całkowity chaos i nagłe osłabienie cyberbezpieczeństwa na całym świecie.”

Poprzez cięcie kosztów, które można porównać do groszowych wydatków, administracja Trumpa skutecznie (przynajmniej tymczasowo) sparaliżuje globalny system cyberbezpieczeństwa – CVE. Co to jest CVE? To globalny system identyfikowania i śledzenia luk bezpieczeństwa, który służył jako wspólny język dla… pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 15 kwietnia 2025

Inni eksperci i organizacje, w tym MITRE, spodziewają się znalezienia innych źródeł finansowania i alternatyw, które pozwolą programowi CVE kontynuować swoją działalność i regularne operacje.