Neprofitna korporacija MITRE saopštila je da bi neizvjesnost oko finansiranja od strane američke vlade mogla dovesti do prekida i „pogoršanja“ programa Common Vulnerabilities and Exposures (CVE).
U pismu upućenom odboru CVE programa, potpredsjednik i direktor MITRE-ovog Centra za bezbjednost otadžbine, Josri Barsum (Yosry Barsoum), naveo je da važeći ugovor sa američkom vladom o upravljanju ovim programom ističe 16. aprila, te da za sada nema informacija o budućem finansiranju.
„U srijedu, 16. aprila 2025. godine, važeći ugovor po kojem MITRE razvija, upravlja i modernizuje program CVE i nekoliko srodnih programa, poput CWE, ističe. Vlada nastavlja sa značajnim naporima da omogući nastavak MITRE-ove uloge u podršci ovom programu“, objasnio je Barsum.
„Ukoliko dođe do prekida u uslugama, očekujemo višestruke posljedice po CVE, uključujući pogoršanje nacionalnih baza podataka o ranjivostima i bezbjednosnih upozorenja, usporavanje reakcije dobavljača, ograničene operacije odgovora, te negativan uticaj na ključnu infrastrukturu“, upozorio je on.
Program CVE, koji je kreiran radi katalogizacije javno objavljenih sajber bezbjednosnih ranjivosti, predstavlja ključni dio procesa otkrivanja i dokumentovanja ranjivosti i široko se koristi među hakerima, dobavljačima i organizacijama za razmjenu tačnih i dosljednih informacija o bezbjednosnim rizicima.
Programom upravlja korporacija MITRE, neprofitna organizacija koja rukovodi federalnim centrima za istraživanje i razvoj, a finansira se iz više izvora, uključujući američku vladu, industrijske partnere i međunarodne organizacije.
Početkom ovog mjeseca, anticipirajući rezove u finansiranju od strane američke vlade, MITRE je pokrenuo otpuštanja koja su pogodila više od 400 zaposlenih u njihovoj kancelariji u Virdžiniji. Ove mjere su uslijedile nakon što je administracija Donalda Trampa objavila ukidanje više od 28 miliona dolara u ugovorima sa kompanijom.
Zabrinutost zbog finansiranja CVE programa dolazi u trenutku kada Nacionalni institut za standarde i tehnologiju (NIST) i dalje ima problema sa rješavanjem sve većeg broja CVE prijava u okviru Nacionalne baze ranjivosti (NVD).
Prema navodima NIST-a, iako Nacionalna baza ranjivosti (NVD) obrađuje nove CVE prijave istim tempom kao i prije usporavanja u proljeće i rano ljeto 2024. godine, povećanje od 32% u broju prijava prošle godine znači da se zaostatak i dalje uvećava.
„Očekujemo da će se stopa prijava nastaviti povećavati i u 2025. godini“, saopštio je institut, uz napomenu da istražuju primjenu vještačke inteligencije i mašinskog učenja za automatizaciju određenih zadataka obrade.
Efekti nagomilanog zaostatka već se osjećaju u zajednici koja se bavi upravljanjem ranjivostima, gdje se podaci iz NVD-a predstavljaju kao izvor istine uz stalno klasifikovanje i obogaćivanje podataka.
Bez brže obrade podataka o ranjivostima, jaz između prijavljenih problema i upotrebljivih informacija se širi, što stvara velike probleme organizacijama koje se oslanjaju na blagovremene informacije radi zaštite svojih sistema.
NIST je objasnio da su trenutni tokovi rada i sistemi za unos podataka u NVD dizajnirani za manji broj CVE prijava, te da zastarjeli formati i ručne procedure obogaćivanja stvaraju značajna uska grla u obradi.
Izvor: SecurityWeek