- DHS fon sözleşmesinin sona ermesi nedeniyle MITRE’nin CVE programı 16 Nisan 2025 gece yarısında durmak üzereydi, ancak CISA sözleşmedeki opsiyon süresini devreye alarak boşluğu engelledi
- Kaynaklara göre uzatma süresi 11 ay ve CISA, CVE’yi siber topluluğun temel bir hizmeti ve kurum önceliği olarak görüyor
- CVE ve CWE programlarının işletilmesi için artımlı fonun 16 Nisan sabahı teyit edilmesiyle planlanan hizmet kesintisi önlendi
- CVE, zafiyet tanımlama ve yönetiminde fiili standart olup NVD, CISA vulnrichment, güvenlik üreticilerinin ürünleri, CERT’ler ve kurumsal zafiyet veritabanlarının dayandığı temel veri kaynağı durumunda
- Sözleşmenin neden sona erdiği net değil; gerçekten kesinti yaşansaydı yeni CVE kayıtlarının eklenmesi duracak ve mevcut kayıtlar GitHub üzerinden sunulacaktı
CISA’nın acil uzatmasıyla kesinti önlendi
- MITRE’nin Common Vulnerabilities and Exposures, yani CVE programının, DHS ile olan sözleşmesinin 16 Nisan 2025 gece yarısında sona ermesi planlanıyordu
- CISA’nın sözleşmedeki opsiyon süresini devreye almasıyla MITRE CVE programında hizmet kesintisi yaşanmayacak
- CISA, CVE’nin siber topluluk için son derece önemli olduğunu ve kurumun öncelikleri arasında yer aldığını açıkladı
- Temel CVE hizmetlerinde boşluk oluşmaması için sözleşmedeki opsiyon süresinin devreye alındığını belirtti
- Kaynaklara göre sözleşme uzatması 11 ay sürecek
- MITRE’den Yosry Barsoum, hükümetin attığı adım sayesinde CVE programı ile Common Weakness Enumeration, yani CWE programının kesintiden kurtulduğunu söyledi
- 16 Nisan 2025 sabahı itibarıyla CISA’nın programların işletimini sürdürecek artımlı fonu teyit ettiği belirtildi
- MITRE, CVE ve CWE’yi küresel kaynaklar olarak sürdürme tutumunu koruyor
Başta planlanan sözleşme bitişi ve etkileri
- 15 Nisan 2025 itibarıyla MITRE, DHS ile sözleşme sona ererse CVE veritabanının sürdürülmesine yönelik fonun kesileceğini CVE kuruluna bildirdi
- Sona erecek kapsam içinde MITRE’nin CVE programını geliştirme, işletme ve modernize etme çalışmaları ile ilgili CWE programı da yer alıyordu
- Rand Corporation’dan Sasha Romanosky, CVE adlandırmasının ve yazılım paketleriyle sürümlere göre yapılan atamaların yazılım zafiyeti ekosisteminin temeli olduğunu söyledi
- CVE olmadan yeni keşfedilen zafiyetleri izlemek zorlaşır
- Ciddiyet puanlaması, exploit tahmini ve yama kararları da sarsılabilir
- Bitsight’tan Ben Edwards, CVE’nin mutlaka fonlanması gereken değerli bir kaynak olduğunu ve sözleşmenin yenilenmemesinin hata olduğunu söyledi
- CVE’nin federatif çerçevesi ve açıklığı sayesinde başka paydaşlar işletimi devralabilir
- Ancak işletmecinin değişmesi halinde geçiş süreci zorlu olabilir
CVE’nin zafiyet ekosistemindeki rolü
- MITRE’nin CVE programı, küresel siber güvenlik ekosisteminin temel direklerinden biri ve zafiyet tanımlama ile savunmacıların zafiyet yönetimi programlarına yön veren fiili standart konumunda
- CVE verisi; zafiyet yönetimi, siber tehdit istihbaratı, güvenlik bilgisi, olay yönetimi ve uç nokta tespit-müdahale alanlarındaki üretici ürünlerine temel veri sağlıyor
- NIST, National Vulnerability Database, yani NVD üzerinden MITRE CVE kayıtlarına ek bilgiler katıyor
- CISA da NVD programındaki fon yetersizliğine yanıt olarak vulnrichment programıyla MITRE CVE kayıtlarını zenginleştiriyordu
- MITRE, CVE kayıtlarının özgün yazarı olup güvenlik açıklarının tanımlanmasında başlıca kaynaklardan biri olarak işlev görüyor
Kesinti halinde beklenen zincirleme etkiler
- Security Errata projesinin CSO’su ve eski CVE kurulu üyesi Brian Martin, MITRE fonunun ortadan kalkması halinde küresel zafiyet yönetiminde anında zincirleme etkiler doğacağını düşünüyor
- Federatif model ve CVE Numbering Authorities, yani CNA’lar, artık kimlik atayıp bilgileri MITRE’ye göndererek bunları hızla yayımlayamayacaktı
- NVD, CVE’ye dayanıyor ve hâlihazırda 30.000’den fazla zafiyet backlog’u ile 80.000’den fazla “deferred” kayıt biriktirmiş durumda
- “deferred”, mevcut koşullarda tam olarak analiz edilmeyecek kayıtları ifade ediyor
- Kendi zafiyet veritabanlarını işleten şirketler de alternatif istihbarat kaynakları aramak zorunda kalabilirdi
- Çin ve Rusya dahil ulusal zafiyet veritabanları, dünya genelindeki yüzlerce ila binlerce ulusal ve bölgesel CERT ile CVE/NVD’ye bağımlı kurumsal zafiyet yönetimi programları etkilenebilirdi
Sözleşmenin sona erme nedeni ve kamu bütçesi durumu
- DHS’nin 25 yıldır fonladığı CVE programı sözleşmesini neden sona erdirmek istediği net değil
- Trump yönetimi, Elon Musk’ın Department of Government Efficiency girişimi etrafında kamu harcamalarında genel kesintilere gidiyordu
- DHS, MITRE CVE programını CISA üzerinden fonluyordu ve CISA zaten iki kez bütçe kesintisi yaşamıştı
- Haberlere göre CISA çalışanlarının yaklaşık %40’ına denk gelen 1.300 kişi hâlâ işten çıkarılma riski altında
- Kaynaklar, federal hükümetin diğer bölümlerindeki bütçe kesintileriyle karşılaştırıldığında CVE programının işletme maliyetinin küçük olduğunu ve “mali yapıyı çökertecek” düzeyde olmadığını söyledi
Özel sektör alternatifleri ve geçici önlemler
- Sözleşme uzatılmasaydı MITRE, 16 Nisan 2025 gece yarısından itibaren CVE veritabanına yeni kayıt eklememeyi planlıyordu
- Mevcut CVE kayıtları GitHub üzerinden sunulacaktı
- VulnCheck’ten Patrick Garrity, NIST NVD’de geçen yıl yaşanan aksaklığın ardından zafiyet ekosisteminin zaten kırılganlaştığını ve CVE programına yönelik etkinin savunmacılar ile güvenlik topluluğu için zararlı olabileceğini söyledi
- VulnCheck, MITRE veya CVE programındaki hangi hizmetlerin etkileneceğinin belirsiz olduğu ortamda 2025 için 1.000 CVE’yi proaktif biçimde rezerve etti
- CISA, CVE’nin hükümet ve sanayinin teknoloji zafiyetlerini açıklamak, sınıflandırmak ve paylaşmak için kullandığı bir yapı olduğunu, ayrıca ulusal kritik altyapıyı riske atabilecek zafiyet bilgileriyle de bağlantılı olduğunu belirtti
1 yorum
Hacker News görüşleri
Bununla ilgili süren başlıklar var: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
MITRE ile sözleşme uzatıldı: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Muhtemelen süresiz bir uzatma gibi görünüyor. DOGE bir aptallar topluluğu olabilir ama DOD'nin tamamında aptal olmayan insanlar da var
Fark ettiniz mi bilmiyorum ama bunlar sıfır tabanlı bütçeleme mantığıyla hareket ediyor. Önce her şeyi kesiyorlar, sonra gerçekten önemli olanları geri getiriyorlar. Önce kes, soruları sonra sor yaklaşımı
MITRE'ın bir DoD yüklenicisi olması da önemli. CVE programının ABD ordusu tarafından finanse edilen bir şirket tarafından yürütülmesi, tarafsızlığa ve küresel güvene dayanan bir ekosistemde çıkar çatışması endişeleri doğurabilir
Bu aralar, durum değişikliğini okurlara göstermek için asıl başlığın sonuna [fixed] eklemeyi deniyorum. En iyisi bu mu bilmiyorum; gerçekten çözülmüş bir durum olup olmadığından da emin değilim ama hiçbir şey yapmamaktan daha iyi görünüyor. Mevcut başlıktaki haberi ve başlığı değiştirmek fazla büyük bir ters köşe gibi hissedilebilir
Sözleşme bugün sona erdi ama 2026 Mart'a kadar bir opsiyon dönemi vardı; DHS'nin tek yapması gereken bu opsiyonu kullanmaktı
Düzenleme: Sözleşmenin bitiş tarihi bugün, 16 Nisan; yani opsiyon kullanılmamış olsaydı bugün gece yarısı çalışma duracaktı. Kamu sözleşmelerinde işlerin bu şekilde son ana kadar gitmesi yaygındır ve opsiyon kullanımının gecikmesi de sık görülür. Peki neden bu sefer bu kadar ortalık karıştı? CISA, MITRE'a opsiyonu kullanmayacağına dair bir sinyal mi verdi?
Böyle bir şeyin yaşanmamasını dilerdim. DHS içindeki nasıl bir silo yapısı yüzünden dezavantajların yeterince büyük görülmediğini merak ediyorum
Bu alandaki uzmanlardan hiçbirinin “kapatılabilir, gerekli değil” diye güçlü biçimde savunacağını sanmıyorum. Sorulsaydı “lütfen dokunmayın, buna ihtiyaç var” diye güçlü şekilde söylerlerdi
Ancak üst düzey mali görevlilerin “kendi araştırmalarını” yaparken, başkalarının CVE'yi nasıl kullandığını ve finansmanı kimin sağladığını yanlış anlamış olması mümkün görünüyor
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
Ve bunun dışında çok daha fazlası var. Aylar boyunca tam bir felaketti ve bu noktada yaklaşımı keskin biçimde değiştirmeyi düşünüyor olabilirler
Tüm bunlar mevcut yönetimin suç niteliğindeki eylemleri
CVE yönetim kurulu üyelerinden oluşan bir koalisyon, “Common Vulnerabilities and Exposures (CVE) Programı’nın uzun vadeli yaşayabilirliğini, istikrarını ve bağımsızlığını güvence altına almak için” yeni CVE Foundation’ı kurdu
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Ürün tedarikçilerinin CVE yayımlama sürecini kendi düzeltme takvimlerine göre manipüle etme teşviki var; güvenlik şirketlerinin de rekabet avantajı elde etmek için CVE veritabanına öncelikli erişim sağlama teşviki var
Ticari finansmanla yürüyen bir organizasyonun bu tür ele geçirilmeden kaçınması imkânsız değil, ama kolay da değil. Aklıma hemen Mozilla Foundation ile Google arasındaki ilişki geliyor
Düzenleme: İstediğiniz kadar downvote edebilirsiniz. İfade tarzım çok sert olduğu için asıl nokta bulanıklaşmış olabilir. Güvenlik uzmanı olmayanların isimlere, alıntılara ve otoriteye ne kadar kolay kapılması ilginç
Güven bir gecede oluşmaz; aslında hiçbir zaman tam olarak oluşmaz. Bilgi güvenliği uzmanı olan biri, geleceği belirsiz böyle bir tedarik zinciri baypasına kolayca kanmaz. Umarım yakında bu düşünceyi sınamak zorunda kalmayız, ama belli bir düzeyde güvenilirlik ve uzun vadeli otomasyon gerekiyor. İhtiyaç duyulan şey teknik ve geniş mutabakatlı bir sistem; bir “vakıf” değil
Asıl ironi, birçok Y Combinator kurucusu ve HN okurunun tam da böyle bir şeyin mümkün olmasına katkı vermiş olması; şimdi de yılanın neden kendi kuyruğunu yediğini merak ediyorlar
Onlar, ya da en azından bir kısmı, bu işlevin kontrolünü ele geçirip para kazanabileceklerini düşünebilir. Düzenli bir gelir akışı, değerli bir abonelik modeli ve müşterilerin bu hizmete gerçekten ihtiyacı var. İhtiyaçları yoksa da IT güvenliği adına aboneliği zorunlu kılan yeni bir yasa çıkarılır
NOAA’nın dağıtıldığı ve iklim değişikliğiyle güçlenmiş süper kasırga uyarıları almak için para ödemek zorunda kalınan bir dünya yani. O iklim değişikliğini de aynı pervasız, denetimsiz açgözlülük yarattı. Milyarderler var olmamalı, ama milyonerler de olmamalı
Mevcut CVE uygulamasında da büyük sorunlar yok muydu? Özellikle script kiddie’ler ve AI araçlarının veritabanını spam’le doldurması, güvenliği ciddiye alan projelerin kendilerine verilen “puan” konusunda neredeyse söz hakkı olmaması gibi
Puanlar çoğunlukla işe yaramaz; ortadan kalksalar umurumda olmaz ve zaten gerçekten bakmıyorum. Ama insanların çöp gibi puanlara neden bu kadar öfkelendiğini de pek anlamıyorum
Yüksek bir CVSS puanı çok iş çıkarıyorsa, bence güvenlik açığı yönetimi süreciniz bozuk demektir. Ya da güvenlik değil, uyumluluk işi yapıyorsunuzdur. Uyumluluktan nefret ediyorsanız, acınızın temel nedeni CVSS puanları değildir
“Umursayabileceğiniz ya da umursamayabileceğiniz şeylere kararlı ID’ler atayan merkezi bir liste” çok değerlidir
Yine de puan sorunu, tüm CVE sistemini yakıp yıkmak için iyi bir gerekçe değil
“Bunda kusurlar var”dan “o zaman öldürelim”e atlamak mantık hatasıdır. Kusurlu bir güvenlik kayıt sisteminin, hiç güvenlik kayıt sistemi olmamasından açıkça daha iyi olduğu ortada
Açık kaynak yazılımlarda CVE yönetimi yaptıysanız, NVD finansmanındaki daralmanın bir yılı aşkın süredir devam ettiğini zaten biliyor olmalısınız
Nisan 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NIST, National Vulnerability Database’i (NVD) sürdürüyor. Bu, ulusal siber güvenlik altyapısının temel bir unsurudur. Yazılımların artması ve buna bağlı olarak güvenlik açıklarının çoğalması, kurumlar arası destek değişiklikleriyle birlikte güvenlik açığı birikimini büyütüyor. NVD iyileştirme araştırmalarında iş birliği yapabilecek sektör, devlet ve diğer paydaş kuruluşlardan oluşan bir konsorsiyum kurulması gibi uzun vadeli çözümler de değerlendiriliyor
Eylül 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“Yazılımda güvenlik ve güvenlik açıklarının ele alınması giderek daha önemli hale geliyor. Son olaylar, birçok projenin sorunları tespit etme ve zamanında çözülmesini sağlama becerisini olumsuz etkiledi. Bu son derece endişe verici. Yakın zamana kadar çoğu durumda CVE Project verilerine değil, bu bilgilerin üzerine ekleme yapılmış NVD verilerine güveniyorduk.”
5 yıl önce, 2019’da Carnegie Mellon’ın CERT Director sunumunu hazırlamaya yardım etmiştim; o zaman da CVE birikimi ve kaynak yetersizliği ele alınıyordu. Bildirilen güvenlik açıklarının önemli bir kısmı CVE numarası bile alamıyor. O zamandan beri kuyruk uzadı ve finansman azaldı, ancak izlenme sayısı yılda ortalama 100’ün altındaydı: https://www.youtube.com/watch?v=WmC65VrnBPI
Finansman bugün kesilmiş gibi görünüyor; iki alıntı da çalışmanın sürdüğünü ve bunun önemli olduğunu söylüyor gibi
NVD’ye yönelik bir tür tehdidin bir yılı aşkın süredir var olduğu mu kastediliyor? Doğru anladığımdan emin olmak istiyorum
Yazı, yazılım güvenlik açıklarının miktarının artması nedeniyle CVE ve NVD projelerinin buna yetişmekte zorlandığını anlatıyor
Bu başlığa siyasi yorum katmayı sürdürmeyi bırakmanızı isterim
Çoğu insanın varlığından bile haberdar olmadığı ama toplum için önemli olan şeylerden, son birkaç hafta içinde sessizce ortadan kaybolan başka neler var acaba diye merak ediyorum
Bunun önemli olduğunu bildiğimiz için bu olayı öğrenmiş olduk. Peki bilmediklerimiz neler?
Olabildiğince iyi niyetle yorumlamaya çalışsam bile, bunu haklı gösterecek kötü niyetli olmayan bir neden gerçekten aklıma gelmiyor
Mevcut liderlik gösterişli olmayan şeyleri anlamıyor gibi görünüyor. Gıda güvenliğini ne zaman geriye götüreceklerini merak ediyorum. RFK herhalde salmonellayı önleyen birkaç vitamin biliyordur
Bu, devletin kamu yararı için yaptığı işlerden biri
Ya da kendi alternatif risk önceliklendirme puanlarını satmak istiyorlar. Her şirket NVD ve CVE verilerini memnuniyetle kullanıyor, ama rakiplerine yardımcı olacak sübvansiyona para vermek istemiyor. Siber güvenlik gibi rekabetin çok yoğun olduğu bir sektörde bu özellikle böyle
MITRE Corporation başka birçok iş de yapıyor ve yıllık gelirinin 2,2 milyar dolar olduğu görünüyor
Trilyon dolarlık şirketler bu sistemden yararlanıyor ve katkıda da bulunuyor; kritik altyapının bu küçük parçası için gelirlerinin yaklaşık %0,01’ini veremezler mi?
steelmanning, grup içi sinyal vermek dışında işe yaramayan yeni türetilmiş bir terim. Aynı kavram için zaten yeterince iyi, daha nüanslı ve daha köklü bir terim vardı: “charitability”
Büyük fark, charitability’nin karşı tarafı saygıyla ele almakla ilgili olması. Steelmanning ise kendi zekânızla karşı tarafın argümanını onun sunduğundan daha iyi hale getirmeye daha yakın
charitability karşılıklı saygı kavramına dayandığından, biri bana zerre kadar saygı duymadığını açıkça gösteriyorsa neden iyi niyetli davranayım sorusu sorulabilir. Steelmanning insanla argümanı ayırmaya çalışıyor ve ironik biçimde hem kibirli hem de naif
Kök neden: 8. katman arızası
https://www.computerhope.com/jargon/l/layer8.htm