1 puan yazan GN⁺ 2025-04-17 | 1 yorum | WhatsApp'ta paylaş
  • CVE Foundation, CVE Programı'nın uzun vadeli işleyişini destekleyecek güvenilir ve istikrarlı bir küresel topluluk kurmayı amaçlıyor
  • En büyük zorluk, CVE Programı'nı tek bir fon akışına bağımlı olmayan, çeşitlendirilmiş ve istikrarlı bir fon modeline taşımak
  • Vakıf, zafiyet tanımlama sürecine duyulan güveni artırmak için katılımı, uluslararası topluluk iş birliğini ve şeffaflığı temel araçlar olarak benimsiyor
  • Vakıf, zafiyet tanımlamanın herkes için daha kolay ve daha güvenilir bir süreç haline gelmesini destekliyor
  • CVE Programı'nın sürdürülebilirliği, hem fon yapısının istikrara kavuşturulmasına hem de küresel iş birliği temelinin güçlendirilmesine bağlı

CVE Programı'nın operasyonel temelini istikrara kavuşturma

Zafiyet tanımlamada güvenilirliği artırma

1 yorum

 
GN⁺ 2025-04-17
Hacker News yorumları
  • Değişikliklere bakılırsa sözleşme son anda yenilenmiş görünüyor
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • Bunu doğrulayan Forbes dışı bir kaynak var mı?
  • Meşruiyetinden şüphe eden yorumlara dair: CVE Yönetim Kurulu üyelerinden birinin LinkedIn paylaşımı var. Aslında şu listedeki[0] ilk kişi: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    Diğer CVE Yönetim Kurulu üyelerinin iletişim bilgileri veya açık kanalları bulunursa ilgili konuda daha fazla şey bulunabilir gibi görünüyor
    [0]: https://www.cve.org/programorganization/board

  • Bununla ilgili devam eden başlıklar:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Artık yazılım sektörünün en büyük şirketlerinin resmi bir konsorsiyum benzeri yapıyla devreye girme zamanı olduğunu düşünüyorum. En büyük faydayı onlar gördüğü için böyle bir model mantıklı
    Büyük teknoloji şirketleri kendi ürün güvenlikleri için CVE’ye dayanıyor; muazzam gelirleri ve özel güvenlik ekipleri olduğundan CVE’nin işletme maliyetlerini rahatlıkla karşılayabilirler. Konsorsiyum modeliyle sorumluluk da adil biçimde paylaşılabilir. Sorumluluk da fayda da paylaşılmış olur; güvenlik herkesin meselesi

    • Haha, CVE zaten en başta sektörün güvenlik açıklarını tutarlı ve şeffaf biçimde izleyip raporlamayı reddetmesi yüzünden oluşturuldu. Seçenek verilirse şirketler neredeyse her zaman kolay yolu seçer; dış hesap verebilirlik ortadan kalkarsa güvenlik açığı yönetim programı birkaç yıl değil, onlarca yıl geriye gidebilir
      Genel olarak avukatlar ve CTO’ların CVE’nin ortadan kalkmasını ya da sektöre devredilmesini sevebilme ihtimali yüksek. Kaynak: Güvenlik alanında 20 yılı aşkın çalıştım
    • Yazılım sektörünün en büyük şirketleri devreye girmişken, 1 trilyon dolarlık şirketinizin bağımlı olduğu açık kaynak paketini yöneten geliştiriciye bari 5 dolar atsalar iyi olur
      50 bin leetcoder’ın kendi başına yapamadığı ve onsuz yaşayamadığı o paketten bahsediyorum
    • Güvenlik meselesinde asla güvenmeyeceğim taraf ABD BigTech olur. Konsorsiyum olsun olmasın bu fikrin şansı yok
      Gereken şey, çok sayıda denge-denetim ve gözetim mekanizmasına sahip uluslararası bir siber tehdit istihbaratı ağı. “Masrafı kim karşılayacak?” diye sorulacaksa, “teknoloji sektöründen gerçekten kâr eden taraf kim?” de sorulmalı
  • Bu bir güvenlik meselesi olduğu için en kötüsünü varsaymak gerekir. MITRE devir teslimi doğrulayana kadar meşru sayılamaz; doğrulasa bile soru sormak için yeterince alan var

  • İnsanların hükümetin de Facebook gibi “hızlı hareket edip bir şeyleri kırması” gerektiğini söyleyip durması, ama Facebook’un bu süreç için bu yıl 60-65 milyar dolar harcamaya karar verdiği kısmını atlaması komik
    Oysa hükümet hızlı hareket edip bir şeyleri kırdığında nedense buna “asgari maliyet” de dahil oluyormuş. “Hızlı, ucuz, iyi: ikisini seç” sözü akla geliyor

  • Birkaç on yıl önce sistem yöneticiliğinden yazılım geliştirmeye geçtiğimden beri güvenlik açıklarını aktif olarak takip etmedim. Bugünlerde daha çok ünlü açıklara dair haberleri okuyorum ve cert’ten çok daha sık CVE görüyorum
    Eskiden cert’e bakardım: https://www.kb.cert.org/vuls/ Az önce hızlıca arayınca hâlâ durduğunu gördüm. İkisinin farkı ya da ilişkisi nedir?

    • En büyük fark, CVE’nin dün ABD hükümeti tarafından haber verilmeden sonlandırılmış olması ve programın bugün bitiyor olması
  • MITRE bütçesinin ne kadar olduğunu merak ediyorum. CISA’nın CVE programı bütçesi ayrı kalem olarak yayımlanmıyor, ama gördüğüm kadarıyla yılda onlarca milyon dolar düzeyinde deniyor
    CVE programı önemli olsa da bu bana fazla geliyor

    • Yılda 40 milyon dolar
  • Böyle veriler için merkeziyetsiz bir veritabanı gerekiyorsa, blockchain gerçekten iyi bir kullanım alanı olabilir diye düşünüyorum
    Mutabakat gerekiyor, değiştirilemez olmalı ve dağıtık olmalı. CVE veritabanına ihtiyaç duyan kullanıcılar BitTorrent’ten ya da başka bir yerden defterin bir kopyasını indirip tüm veriyi veya güncellemeleri ayrıştırabilir. CVE’nin güncelleme sayısı aşırı fazla değil ve zaten hepsinin kalıcı olarak izlenmesi gerekiyor. Güncellemeler zincire bir kayıt daha eklenerek işlenebilir; kötü niyetli aktörlerin keyfi biçimde değiştirmesi de zor olur

    • Mutabakat gerekmiyor, değiştirilemez olması da gerekmiyor. Bu sadece tavsiye niteliğinde veri. Herhangi bir sahip kendi deposundaki CVE verisini sansürlese ya da kurcalasa, kullanıcıları sinir etmek dışında kazanacağı bir şey yok
      Merkezi bir veritabanı ve aynalar yeterli; şimdiye kadar da bu yöntemle sorun yaşanmadı. Gereken şey, verinin serbestçe kullanılmasını ve paylaşılmasını sağlamak; mümkünse başka kurumların da yazılım güvenlik açıklarını sınıflandırarak bir ölçüde yedeklilik ve çoğaltma sağlaması
  • Gerçek olmasını isterdim ama elde gerçek bilgi çok az. Hem duyuruya karşılık verdiklerini söylüyorlar hem de bir yıldır hazırlandıklarını söylüyorlar
    Son kısım gerçekten bu kadar titizlikle hazırlanmış olsaydı muhtemelen daha erken bir şey duyururlardı; bu yüzden şüpheli. Burada çeşitli çabaların bölünmesi olası görünüyor. Herkesin tek bir çözüm etrafında toplanması iyi olurdu ama bunun o çözüm olup olmadığını bilmiyorum. ABD merkezli bir kâr amacı gütmeyen kuruluş en iyi çözüm olmayabilir