DHS sözleşmeyi yenilemeyince CVE programı erken sona erme riskiyle karşı karşıya

 (csoonline.com)
2 puan yazan GN⁺ 2025-04-17 | 1 yorum | WhatsApp'ta paylaş
  • MITRE'nin CVE programı, siber güvenliğin temel unsurlarından biri olarak güvenlik açıklarının tanımlanması ve yönetilmesinde önemli rol oynuyor
  • CISA, MITRE ile sözleşmeyi uzatarak CVE programının kesintiye uğramasını önledi
  • Sözleşme uzatması 11 ay sürecek ve bu adım küresel siber topluluğun desteğini alıyor
  • Sözleşmenin sona ermesi, siber güvenlik ekosistemi üzerinde büyük etki yaratabilir ve alternatif çözümleri gerekli kılabilir
  • VulnCheck gibi özel sektör oyuncuları, CVE programındaki olası boşluğu doldurmak için çalışıyor

DHS ile MITRE arasındaki sözleşmenin sona erme krizi

  • MITRE'nin CVE programı, 25 yıldır sürdürülen önemli bir siber güvenlik veritabanı
  • DHS sözleşmeyi yenilemeyince program kesintiye uğrama tehlikesiyle karşı karşıya kaldı
  • CISA, sözleşmeyi uzatarak programın durmasını engelledi

CVE programının önemi

  • CVE programı, küresel siber güvenlik ekosisteminin temeli olarak güvenlik açıklarının tanımlanması ve yönetilmesi için kritik öneme sahip
  • NIST ve CISA ek bilgi sağlasa da CVE kayıtlarının ana kaynağı MITRE
  • Programın durması, küresel güvenlik yönetimi üzerinde büyük etki yaratabilir

Sözleşmenin sona ermesinin arka planı

  • DHS'nin sözleşmeyi sonlandırma kararının nedeni net değil
  • Hükümetin bütçe kesintilerinin başlıca neden olduğu tahmin ediliyor
  • CVE programının işletme maliyeti görece düşük

İleriye dönük görünüm

  • MITRE, 16 Nisan'dan itibaren yeni CVE kayıtları eklememeyi planlıyor
  • Mevcut kayıtlar GitHub üzerinden sunulmaya devam edecek
  • Özel sektörün alternatif çözümler sunma ihtimali bulunuyor

İlgili haberler

  • Uzmanlara göre MITRE'nin fonlaması hâlâ belirsiz
  • Yeni ResolverRAT kötü amaçlı yazılımı, dünya genelindeki sağlık ve ilaç kuruluşlarını hedef alıyor
  • Windows ve SAP uygulamalarındaki güvenlik açıklarına ilişkin en güncel yama haberleri

İlgili okumalar

1 yorum

 
GN⁺ 2025-04-17
Hacker News yorumları
  • CVE Foundation ile ilgili tartışmalar sürüyor
  • MITRE ile sözleşme uzatıldı
  • CVE Board üyeleri, CVE programının uzun vadeli istikrarını ve bağımsızlığını güvence altına almak için yeni bir CVE Foundation başlatmaya çalışıyor
  • DHS içindeki birimler arası ayrım nedeniyle bu sorunun olumsuz yönleri yeterince fark edilmemiş gibi görünüyor
  • CVE programının önemini kavramayan üst düzey mali işler biriminin yanlış bir karar vermiş olduğu anlaşılıyor
  • Birçok ycombinator kurucusu ve Hacker News okuru bu sorunun ortaya çıkmasına zemin hazırladı ve şimdi bunun sonuçlarını sorguluyor
  • Bu durum, son birkaç hafta içinde toplum için önemli olan başka şeylerin de sessizce ortadan kaybolmuş olabileceğini düşündürüyor
  • Mevcut CVE uygulamasında büyük sorunlar vardı. Özellikle script kiddie'ler ve yapay zeka araçları veritabanını spam ile dolduruyor, güvenliği önemseyen projeler ise puanlar üzerinde neredeyse hiç etki yaratamıyordu
  • OSS yazılımlarında CVE yönetimi yapan kişiler, NVD fon kesintilerinin bir yılı aşkın süredir devam ettiğini zaten biliyor
  • NIST, Ulusal Güvenlik Açığı Veritabanı'nı (NVD) sürdürüyor ve bu, ulusal siber güvenlik altyapısının temel unsurlarından biri
  • Yazılım sayısındaki artış nedeniyle güvenlik açıkları da artıyor ve kurumlar arası destek değişiklikleri yüzünden bu açıkların ele alınmasında zorluk yaşanıyor
  • Uzun vadeli çözüm olarak sektör, devlet ve diğer paydaş kuruluşlardan oluşan bir konsorsiyum kurulması değerlendiriliyor
  • Yocto Project, CVE Project ve CNA'lere açık bir mektup gönderdi; son olayların projenin güvenlik açıklarını belirleme ve giderme çalışmalarını olumsuz etkilediği yönünde kaygı belirtti
  • 5 yıl önce Carnegie Mellon'daki CERT Director, CVE birikmiş iş yükü ve kaynak yetersizliği sorununu duyurmuştu; bildirilen birçok güvenlik açığı hâlâ CVE numarası alamıyor
  • MITRE'nin CVE ve CWE programlarına katılımı için en güncel sözleşme, 17 Nisan 2024 ile 16 Nisan 2025 arasında USD$29.1m tutarında yapıldı ve en fazla USD$57.8m seviyesine kadar uzatılma ihtimali bulunuyor
  • 16 Nisan 2025 ile 16 Nisan 2026 arasındaki sözleşme uzatmasının yapılıp yapılmayacağı henüz kararlaştırılmadı ve alternatif bir sözleşmeye dair kamuya açık bir yaklaşım da bulunmuyor