2 puan yazan GN⁺ 2025-04-17 | 1 yorum | WhatsApp'ta paylaş
  • DHS fon sözleşmesinin sona ermesi nedeniyle MITRE’nin CVE programı 16 Nisan 2025 gece yarısında durmak üzereydi, ancak CISA sözleşmedeki opsiyon süresini devreye alarak boşluğu engelledi
  • Kaynaklara göre uzatma süresi 11 ay ve CISA, CVE’yi siber topluluğun temel bir hizmeti ve kurum önceliği olarak görüyor
  • CVE ve CWE programlarının işletilmesi için artımlı fonun 16 Nisan sabahı teyit edilmesiyle planlanan hizmet kesintisi önlendi
  • CVE, zafiyet tanımlama ve yönetiminde fiili standart olup NVD, CISA vulnrichment, güvenlik üreticilerinin ürünleri, CERT’ler ve kurumsal zafiyet veritabanlarının dayandığı temel veri kaynağı durumunda
  • Sözleşmenin neden sona erdiği net değil; gerçekten kesinti yaşansaydı yeni CVE kayıtlarının eklenmesi duracak ve mevcut kayıtlar GitHub üzerinden sunulacaktı

CISA’nın acil uzatmasıyla kesinti önlendi

  • MITRE’nin Common Vulnerabilities and Exposures, yani CVE programının, DHS ile olan sözleşmesinin 16 Nisan 2025 gece yarısında sona ermesi planlanıyordu
  • CISA’nın sözleşmedeki opsiyon süresini devreye almasıyla MITRE CVE programında hizmet kesintisi yaşanmayacak
    • CISA, CVE’nin siber topluluk için son derece önemli olduğunu ve kurumun öncelikleri arasında yer aldığını açıkladı
    • Temel CVE hizmetlerinde boşluk oluşmaması için sözleşmedeki opsiyon süresinin devreye alındığını belirtti
    • Kaynaklara göre sözleşme uzatması 11 ay sürecek
  • MITRE’den Yosry Barsoum, hükümetin attığı adım sayesinde CVE programı ile Common Weakness Enumeration, yani CWE programının kesintiden kurtulduğunu söyledi
    • 16 Nisan 2025 sabahı itibarıyla CISA’nın programların işletimini sürdürecek artımlı fonu teyit ettiği belirtildi
    • MITRE, CVE ve CWE’yi küresel kaynaklar olarak sürdürme tutumunu koruyor

Başta planlanan sözleşme bitişi ve etkileri

  • 15 Nisan 2025 itibarıyla MITRE, DHS ile sözleşme sona ererse CVE veritabanının sürdürülmesine yönelik fonun kesileceğini CVE kuruluna bildirdi
  • Sona erecek kapsam içinde MITRE’nin CVE programını geliştirme, işletme ve modernize etme çalışmaları ile ilgili CWE programı da yer alıyordu
  • Rand Corporation’dan Sasha Romanosky, CVE adlandırmasının ve yazılım paketleriyle sürümlere göre yapılan atamaların yazılım zafiyeti ekosisteminin temeli olduğunu söyledi
    • CVE olmadan yeni keşfedilen zafiyetleri izlemek zorlaşır
    • Ciddiyet puanlaması, exploit tahmini ve yama kararları da sarsılabilir
  • Bitsight’tan Ben Edwards, CVE’nin mutlaka fonlanması gereken değerli bir kaynak olduğunu ve sözleşmenin yenilenmemesinin hata olduğunu söyledi
    • CVE’nin federatif çerçevesi ve açıklığı sayesinde başka paydaşlar işletimi devralabilir
    • Ancak işletmecinin değişmesi halinde geçiş süreci zorlu olabilir

CVE’nin zafiyet ekosistemindeki rolü

  • MITRE’nin CVE programı, küresel siber güvenlik ekosisteminin temel direklerinden biri ve zafiyet tanımlama ile savunmacıların zafiyet yönetimi programlarına yön veren fiili standart konumunda
  • CVE verisi; zafiyet yönetimi, siber tehdit istihbaratı, güvenlik bilgisi, olay yönetimi ve uç nokta tespit-müdahale alanlarındaki üretici ürünlerine temel veri sağlıyor
  • NIST, National Vulnerability Database, yani NVD üzerinden MITRE CVE kayıtlarına ek bilgiler katıyor
  • CISA da NVD programındaki fon yetersizliğine yanıt olarak vulnrichment programıyla MITRE CVE kayıtlarını zenginleştiriyordu
  • MITRE, CVE kayıtlarının özgün yazarı olup güvenlik açıklarının tanımlanmasında başlıca kaynaklardan biri olarak işlev görüyor

Kesinti halinde beklenen zincirleme etkiler

  • Security Errata projesinin CSO’su ve eski CVE kurulu üyesi Brian Martin, MITRE fonunun ortadan kalkması halinde küresel zafiyet yönetiminde anında zincirleme etkiler doğacağını düşünüyor
  • Federatif model ve CVE Numbering Authorities, yani CNA’lar, artık kimlik atayıp bilgileri MITRE’ye göndererek bunları hızla yayımlayamayacaktı
  • NVD, CVE’ye dayanıyor ve hâlihazırda 30.000’den fazla zafiyet backlog’u ile 80.000’den fazla “deferred” kayıt biriktirmiş durumda
    • “deferred”, mevcut koşullarda tam olarak analiz edilmeyecek kayıtları ifade ediyor
  • Kendi zafiyet veritabanlarını işleten şirketler de alternatif istihbarat kaynakları aramak zorunda kalabilirdi
  • Çin ve Rusya dahil ulusal zafiyet veritabanları, dünya genelindeki yüzlerce ila binlerce ulusal ve bölgesel CERT ile CVE/NVD’ye bağımlı kurumsal zafiyet yönetimi programları etkilenebilirdi

Sözleşmenin sona erme nedeni ve kamu bütçesi durumu

  • DHS’nin 25 yıldır fonladığı CVE programı sözleşmesini neden sona erdirmek istediği net değil
  • Trump yönetimi, Elon Musk’ın Department of Government Efficiency girişimi etrafında kamu harcamalarında genel kesintilere gidiyordu
  • DHS, MITRE CVE programını CISA üzerinden fonluyordu ve CISA zaten iki kez bütçe kesintisi yaşamıştı
  • Haberlere göre CISA çalışanlarının yaklaşık %40’ına denk gelen 1.300 kişi hâlâ işten çıkarılma riski altında
  • Kaynaklar, federal hükümetin diğer bölümlerindeki bütçe kesintileriyle karşılaştırıldığında CVE programının işletme maliyetinin küçük olduğunu ve “mali yapıyı çökertecek” düzeyde olmadığını söyledi

Özel sektör alternatifleri ve geçici önlemler

  • Sözleşme uzatılmasaydı MITRE, 16 Nisan 2025 gece yarısından itibaren CVE veritabanına yeni kayıt eklememeyi planlıyordu
  • Mevcut CVE kayıtları GitHub üzerinden sunulacaktı
  • VulnCheck’ten Patrick Garrity, NIST NVD’de geçen yıl yaşanan aksaklığın ardından zafiyet ekosisteminin zaten kırılganlaştığını ve CVE programına yönelik etkinin savunmacılar ile güvenlik topluluğu için zararlı olabileceğini söyledi
  • VulnCheck, MITRE veya CVE programındaki hangi hizmetlerin etkileneceğinin belirsiz olduğu ortamda 2025 için 1.000 CVE’yi proaktif biçimde rezerve etti
  • CISA, CVE’nin hükümet ve sanayinin teknoloji zafiyetlerini açıklamak, sınıflandırmak ve paylaşmak için kullandığı bir yapı olduğunu, ayrıca ulusal kritik altyapıyı riske atabilecek zafiyet bilgileriyle de bağlantılı olduğunu belirtti

1 yorum

 
GN⁺ 2025-04-17
Hacker News görüşleri
  • Bununla ilgili süren başlıklar var: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • MITRE ile sözleşme uzatıldı: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    Muhtemelen süresiz bir uzatma gibi görünüyor. DOGE bir aptallar topluluğu olabilir ama DOD'nin tamamında aptal olmayan insanlar da var

    • Tahminimce gelecek yıl kademeli olarak çekilecekler. Uzun vadeli hedef, CVE programını sektör öncülüğünde bir konsorsiyuma daha yakın bir yapıya dönüştürmek gibi görünüyor
      Fark ettiniz mi bilmiyorum ama bunlar sıfır tabanlı bütçeleme mantığıyla hareket ediyor. Önce her şeyi kesiyorlar, sonra gerçekten önemli olanları geri getiriyorlar. Önce kes, soruları sonra sor yaklaşımı
      MITRE'ın bir DoD yüklenicisi olması da önemli. CVE programının ABD ordusu tarafından finanse edilen bir şirket tarafından yürütülmesi, tarafsızlığa ve küresel güvene dayanan bir ekosistemde çıkar çatışması endişeleri doğurabilir
    • Zaten sonraki gelişmelerle geçerliliği değişmiş bir habere dayanan başlıkları nasıl ele almak gerektiği her zaman zor. Yeni bir haberle yeni başlık açmak gerekir mi diye düşünüyorum ama daha yeni büyük bir tartışma yapılmış oluyor ve “düzeltildi” haberi, ilk yarattığı etki kadar ilgi çekici görünmediği için genelde öne çıkmıyor
      Bu aralar, durum değişikliğini okurlara göstermek için asıl başlığın sonuna [fixed] eklemeyi deniyorum. En iyisi bu mu bilmiyorum; gerçekten çözülmüş bir durum olup olmadığından da emin değilim ama hiçbir şey yapmamaktan daha iyi görünüyor. Mevcut başlıktaki haberi ve başlığı değiştirmek fazla büyük bir ters köşe gibi hissedilebilir
    • Henüz FPDS'ye düşmemiş gibi görünüyor: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      Sözleşme bugün sona erdi ama 2026 Mart'a kadar bir opsiyon dönemi vardı; DHS'nin tek yapması gereken bu opsiyonu kullanmaktı
      Düzenleme: Sözleşmenin bitiş tarihi bugün, 16 Nisan; yani opsiyon kullanılmamış olsaydı bugün gece yarısı çalışma duracaktı. Kamu sözleşmelerinde işlerin bu şekilde son ana kadar gitmesi yaygındır ve opsiyon kullanımının gecikmesi de sık görülür. Peki neden bu sefer bu kadar ortalık karıştı? CISA, MITRE'a opsiyonu kullanmayacağına dair bir sinyal mi verdi?
    • Haberde “25 yılın ardından DHS'nin sözleşmeyi neden sonlandırmaya karar verdiği belirsiz” deniyordu, ama birden uzatıldı. Bunun DOGE ile ne ilgisi var bilmiyorum
  • Böyle bir şeyin yaşanmamasını dilerdim. DHS içindeki nasıl bir silo yapısı yüzünden dezavantajların yeterince büyük görülmediğini merak ediyorum
    Bu alandaki uzmanlardan hiçbirinin “kapatılabilir, gerekli değil” diye güçlü biçimde savunacağını sanmıyorum. Sorulsaydı “lütfen dokunmayın, buna ihtiyaç var” diye güçlü şekilde söylerlerdi
    Ancak üst düzey mali görevlilerin “kendi araştırmalarını” yaparken, başkalarının CVE'yi nasıl kullandığını ve finansmanı kimin sağladığını yanlış anlamış olması mümkün görünüyor

  • CVE yönetim kurulu üyelerinden oluşan bir koalisyon, “Common Vulnerabilities and Exposures (CVE) Programı’nın uzun vadeli yaşayabilirliğini, istikrarını ve bağımsızlığını güvence altına almak için” yeni CVE Foundation’ı kurdu
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • Böyle bir konsorsiyumun hem ürün tedarikçilerinin hem de güvenlik şirketlerinin etkisi altına girmemesi özellikle sağlanmalı
      Ürün tedarikçilerinin CVE yayımlama sürecini kendi düzeltme takvimlerine göre manipüle etme teşviki var; güvenlik şirketlerinin de rekabet avantajı elde etmek için CVE veritabanına öncelikli erişim sağlama teşviki var
      Ticari finansmanla yürüyen bir organizasyonun bu tür ele geçirilmeden kaçınması imkânsız değil, ama kolay da değil. Aklıma hemen Mozilla Foundation ile Google arasındaki ilişki geliyor
    • Hükümet para musluğunu kapatırsa bu işi ücretsiz sürdürmeye mi niyetliler?
    • Bu, gerçek bir ilerlemeden çok, güvenlik açığı phishing’ini mümkün kılmaya yönelik acele bir girişim kokuyor. Gönderiyi bir güvenlik startup’ı işleten biri paylaşmış; site de insanların Google’a dolandırıcılık olarak bildirebileceği bir Google sitesi
      Düzenleme: İstediğiniz kadar downvote edebilirsiniz. İfade tarzım çok sert olduğu için asıl nokta bulanıklaşmış olabilir. Güvenlik uzmanı olmayanların isimlere, alıntılara ve otoriteye ne kadar kolay kapılması ilginç
      Güven bir gecede oluşmaz; aslında hiçbir zaman tam olarak oluşmaz. Bilgi güvenliği uzmanı olan biri, geleceği belirsiz böyle bir tedarik zinciri baypasına kolayca kanmaz. Umarım yakında bu düşünceyi sınamak zorunda kalmayız, ama belli bir düzeyde güvenilirlik ve uzun vadeli otomasyon gerekiyor. İhtiyaç duyulan şey teknik ve geniş mutabakatlı bir sistem; bir “vakıf” değil
  • Asıl ironi, birçok Y Combinator kurucusu ve HN okurunun tam da böyle bir şeyin mümkün olmasına katkı vermiş olması; şimdi de yılanın neden kendi kuyruğunu yediğini merak ediyorlar

    • Belki de istedikleri buydu. Çünkü bu, birçok devlet işlevinin özelleştirilmesinin bir parçası olabilir
      Onlar, ya da en azından bir kısmı, bu işlevin kontrolünü ele geçirip para kazanabileceklerini düşünebilir. Düzenli bir gelir akışı, değerli bir abonelik modeli ve müşterilerin bu hizmete gerçekten ihtiyacı var. İhtiyaçları yoksa da IT güvenliği adına aboneliği zorunlu kılan yeni bir yasa çıkarılır
    • Eksik finansman kabaca 2 milyon dolar civarında. ABD’deki herhangi bir şirket bu sorunu bir anda ortadan kaldırabilir
    • Aynen öyle. Y Combinator ve destekçilerinin ancap fantezi diyarında mutlu mesut yaşamalarını dilerim
      NOAA’nın dağıtıldığı ve iklim değişikliğiyle güçlenmiş süper kasırga uyarıları almak için para ödemek zorunda kalınan bir dünya yani. O iklim değişikliğini de aynı pervasız, denetimsiz açgözlülük yarattı. Milyarderler var olmamalı, ama milyonerler de olmamalı
  • Mevcut CVE uygulamasında da büyük sorunlar yok muydu? Özellikle script kiddie’ler ve AI araçlarının veritabanını spam’le doldurması, güvenliği ciddiye alan projelerin kendilerine verilen “puan” konusunda neredeyse söz hakkı olmaması gibi

    • CVE’leri aktif olarak tüketen biri olarak: evet, büyük sorunlar var. Ama daha iyi bir şey de yok, daha iyi bir fikrim de yok
      Puanlar çoğunlukla işe yaramaz; ortadan kalksalar umurumda olmaz ve zaten gerçekten bakmıyorum. Ama insanların çöp gibi puanlara neden bu kadar öfkelendiğini de pek anlamıyorum
      Yüksek bir CVSS puanı çok iş çıkarıyorsa, bence güvenlik açığı yönetimi süreciniz bozuk demektir. Ya da güvenlik değil, uyumluluk işi yapıyorsunuzdur. Uyumluluktan nefret ediyorsanız, acınızın temel nedeni CVSS puanları değildir
      “Umursayabileceğiniz ya da umursamayabileceğiniz şeylere kararlı ID’ler atayan merkezi bir liste” çok değerlidir
    • Rastgele 9.8 puanlık kritik güvenlik açıkları ortaya çıkıyor; benim ortamımda etkisi 0 olsa bile fark etmiyor. O CVE yüzünden kurumun Security Score’u keyfi olarak 10 puan düşüyor ve yönetim, başarıyı ölçebildikleri tek somut çıktı Security Score olduğu için şirketi ne zaman tekrar güvenli hâle getireceğimizi soruyor
    • Puanların baştan beri herkesin kendi ortamı genelinde bu kadar doğru olması mümkün değildi. Başka yerlerin ne kadar bel bağladığını bilmiyorum ama çalıştığım yerler buna pek bel bağlamıyordu
      Yine de puan sorunu, tüm CVE sistemini yakıp yıkmak için iyi bir gerekçe değil
    • Kendi koduna CVE tarayıcısı çalıştırıp kısa sürede bıkmayan birini hiç görmedim
    • Elbette mevcut CVE uygulamasında sorunlar var. Başlık “DHS, CVE programını iyileştirme ve sadeleştirme önerdi” olsaydı muhtemelen herkes alkışlardı
      “Bunda kusurlar var”dan “o zaman öldürelim”e atlamak mantık hatasıdır. Kusurlu bir güvenlik kayıt sisteminin, hiç güvenlik kayıt sistemi olmamasından açıkça daha iyi olduğu ortada
  • Açık kaynak yazılımlarda CVE yönetimi yaptıysanız, NVD finansmanındaki daralmanın bir yılı aşkın süredir devam ettiğini zaten biliyor olmalısınız
    Nisan 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST, National Vulnerability Database’i (NVD) sürdürüyor. Bu, ulusal siber güvenlik altyapısının temel bir unsurudur. Yazılımların artması ve buna bağlı olarak güvenlik açıklarının çoğalması, kurumlar arası destek değişiklikleriyle birlikte güvenlik açığı birikimini büyütüyor. NVD iyileştirme araştırmalarında iş birliği yapabilecek sektör, devlet ve diğer paydaş kuruluşlardan oluşan bir konsorsiyum kurulması gibi uzun vadeli çözümler de değerlendiriliyor
    Eylül 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “Yazılımda güvenlik ve güvenlik açıklarının ele alınması giderek daha önemli hale geliyor. Son olaylar, birçok projenin sorunları tespit etme ve zamanında çözülmesini sağlama becerisini olumsuz etkiledi. Bu son derece endişe verici. Yakın zamana kadar çoğu durumda CVE Project verilerine değil, bu bilgilerin üzerine ekleme yapılmış NVD verilerine güveniyorduk.”
    5 yıl önce, 2019’da Carnegie Mellon’ın CERT Director sunumunu hazırlamaya yardım etmiştim; o zaman da CVE birikimi ve kaynak yetersizliği ele alınıyordu. Bildirilen güvenlik açıklarının önemli bir kısmı CVE numarası bile alamıyor. O zamandan beri kuyruk uzadı ve finansman azaldı, ancak izlenme sayısı yılda ortalama 100’ün altındaydı: https://www.youtube.com/watch?v=WmC65VrnBPI

    • Bu yazı yardımcı olmadı ve kafa karıştırıcıydı. Bugün yaşanan ani finansman kesintisi önceki finansman kesintilerinden ayrıysa, bunun açıkça düzenlenmesini ya da bundan sonra böyle yazılmasını isterim
    • Bir yılı aşkın süredir devam eden şeyin tam olarak ne olduğunu merak ediyorum
      Finansman bugün kesilmiş gibi görünüyor; iki alıntı da çalışmanın sürdüğünü ve bunun önemli olduğunu söylüyor gibi
      NVD’ye yönelik bir tür tehdidin bir yılı aşkın süredir var olduğu mu kastediliyor? Doğru anladığımdan emin olmak istiyorum
    • O yazıda finansman kesintisinden söz eden bir şey yok
      Yazı, yazılım güvenlik açıklarının miktarının artması nedeniyle CVE ve NVD projelerinin buna yetişmekte zorlandığını anlatıyor
      Bu başlığa siyasi yorum katmayı sürdürmeyi bırakmanızı isterim
    • HN’de mevcut yönetim aleyhine yorumlanabilecek her yazıda buna benzer metinler görüyorum. Belirsiz bir yanlış beyanın ardından gerçeklerle uyuşmayan bir açıklama ya da o beyanı desteklemeyen alıntılar geliyor
  • Çoğu insanın varlığından bile haberdar olmadığı ama toplum için önemli olan şeylerden, son birkaç hafta içinde sessizce ortadan kaybolan başka neler var acaba diye merak ediyorum
    Bunun önemli olduğunu bildiğimiz için bu olayı öğrenmiş olduk. Peki bilmediklerimiz neler?

    • Destekleyenlerin umurunda değil. Amerikalıların görece istikrar duygusu ve yaşam kalitesi, çok az anladıkları ya da adını bile duymadıkları kurumlar tarafından destekleniyor. Belki de sıcak sobaya bizzat dokunmalarına izin vermek gerekir
    • https://www.project2025.observer/ adresinde bazıları listelenmiş. Elbette bunlar yalnızca Trump tarafındakilerin bildiği ve açıkça yok etmeye çalıştığı kurumlar, ama bir başlangıç noktası olur
  • Olabildiğince iyi niyetle yorumlamaya çalışsam bile, bunu haklı gösterecek kötü niyetli olmayan bir neden gerçekten aklıma gelmiyor

    • Bence cehalet ve kibir. ABD teknoloji ve bilim liderliğini kaybetme yolunda ilerliyor gibi
      Mevcut liderlik gösterişli olmayan şeyleri anlamıyor gibi görünüyor. Gıda güvenliğini ne zaman geriye götüreceklerini merak ediyorum. RFK herhalde salmonellayı önleyen birkaç vitamin biliyordur
    • İnanılmaz derecede aptalca. Gerekçesi ne olursa olsun, korkunç sonuçları kadar önemli değil
      Bu, devletin kamu yararı için yaptığı işlerden biri
    • Ortak malların trajedisi. NVD ve CVE projeleri yıllardır birikim ve finansman sorunları yaşıyordu; çoğu güvenlik şirketi de güvenlik açığı bilgilerini zamanında sağlamaya isteksiz. Çünkü bu, kendi karşılaştırmalı üstünlüklerini azaltabilir
      Ya da kendi alternatif risk önceliklendirme puanlarını satmak istiyorlar. Her şirket NVD ve CVE verilerini memnuniyetle kullanıyor, ama rakiplerine yardımcı olacak sübvansiyona para vermek istemiyor. Siber güvenlik gibi rekabetin çok yoğun olduğu bir sektörde bu özellikle böyle
    • Sebep devlet harcamalarını azaltmak olabilir. Bana göre gerçek bir devlet kurumu gibi görünmüyor; dolayısıyla başka kuruluşlar da finansman sağlayabilir. Bu kuruluşa her yıl ne kadar para gittiğini de merak ediyorum
      MITRE Corporation başka birçok iş de yapıyor ve yıllık gelirinin 2,2 milyar dolar olduğu görünüyor
      Trilyon dolarlık şirketler bu sistemden yararlanıyor ve katkıda da bulunuyor; kritik altyapının bu küçük parçası için gelirlerinin yaklaşık %0,01’ini veremezler mi?
    • Kişisel olarak rahatsız olduğum bir konu ama bu yüzden steelmanningin ters teptiğini düşünüyorum
      steelmanning, grup içi sinyal vermek dışında işe yaramayan yeni türetilmiş bir terim. Aynı kavram için zaten yeterince iyi, daha nüanslı ve daha köklü bir terim vardı: “charitability”
      Büyük fark, charitability’nin karşı tarafı saygıyla ele almakla ilgili olması. Steelmanning ise kendi zekânızla karşı tarafın argümanını onun sunduğundan daha iyi hale getirmeye daha yakın
      charitability karşılıklı saygı kavramına dayandığından, biri bana zerre kadar saygı duymadığını açıkça gösteriyorsa neden iyi niyetli davranayım sorusu sorulabilir. Steelmanning insanla argümanı ayırmaya çalışıyor ve ironik biçimde hem kibirli hem de naif
  • Kök neden: 8. katman arızası
    https://www.computerhope.com/jargon/l/layer8.htm