Departemen Keamanan Dalam Negeri AS belum memperbarui kontrak dengan MITRE untuk mendanai pekerjaan dalam menetapkan pengidentifikasi Common Vulnerabilities and Exposures (CVE) untuk kerentanan, memelihara basis data terpusat dari kerentanan yang diketahui publik, dan memelihara daftar jenis kerentanan (CWE - Common Weakness Enumeration). Selain itu, telah terjadi penurunan umum dalam pendanaan MITRE, yang telah menyebabkan PHK lebih dari 400 karyawan bulan ini. Diasumsikan bahwa jika cara alternatif untuk mendukung program tidak ditemukan, maka pembaruan dan penugasan CVE baru di MITRE mungkin dihentikan hari ini.
Pada saat penulisan ini, basis data CVE sedang diperbarui, dan situs web cve.mitre.org terus beroperasi (masih malam di AS, dan penutupan mungkin terjadi setelah dimulainya hari kerja). Jika layanan MITRE dihentikan, data historis mengenai pengenal CVE yang sudah diterbitkan akan disimpan dalam cermin di GitHub.
Pengidentifikasi CVE sangat penting untuk infrastruktur keamanan karena memungkinkan pelacakan patch untuk setiap kerentanan spesifik dan memastikan bahwa produk dan layanan yang berbeda merujuk pada kerentanan yang sama. Semua sistem koordinasi dan pelacakan kerentanan terkait dengan CVE dalam satu atau lain cara. Kemungkinan besar korporasi akan menemukan cara untuk menjaga proyek CVE tetap berjalan dengan menyediakan pendanaan bersama yang independen atau membuat konsorsium terpisah.
Penugasan CVE sebagian sudah terdesentralisasi - banyak proyek dan perusahaan telah menerima status CNA (CVE Numbering Authority), yang memberi mereka hak untuk secara independen menetapkan pengenal CVE di area tanggung jawab mereka, menggunakan rentang nomor CVE terpisah yang dikeluarkan oleh MITRE. Pada saat yang sama, pekerjaan utama untuk menerbitkan nomor CVE individual atas permintaan sejauh ini telah dilakukan oleh MITRE.
Sebanyak 453 proyek dan perusahaan memiliki status CNA, termasuk pengembang inti. LinuxApache, Curl, DebianEclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub, dan Google. Peran MITRE dalam bekerja sama dengan CNA adalah untuk mengoordinasikan alokasi rentang CVE dan memantau potensi tumpang tindih antara pengidentifikasi CVE (hanya satu pengidentifikasi CVE yang boleh dikaitkan dengan satu kerentanan).
Sumber: opennet.ru
