CVE Vakfı
(thecvefoundation.org)- CVE Foundation, CVE Programı'nın uzun vadeli işleyişini destekleyecek güvenilir ve istikrarlı bir küresel topluluk kurmayı amaçlıyor
- En büyük zorluk, CVE Programı'nı tek bir fon akışına bağımlı olmayan, çeşitlendirilmiş ve istikrarlı bir fon modeline taşımak
- Vakıf, zafiyet tanımlama sürecine duyulan güveni artırmak için katılımı, uluslararası topluluk iş birliğini ve şeffaflığı temel araçlar olarak benimsiyor
- Vakıf, zafiyet tanımlamanın herkes için daha kolay ve daha güvenilir bir süreç haline gelmesini destekliyor
- CVE Programı'nın sürdürülebilirliği, hem fon yapısının istikrara kavuşturulmasına hem de küresel iş birliği temelinin güçlendirilmesine bağlı
CVE Programı'nın operasyonel temelini istikrara kavuşturma
- CVE Foundation, CVE Programı'nın istikrarlı geleceğini güvence altına almayı hedefliyor
- Mevcut odak, CVE Programı'nın tek bir fon akışından çeşitlendirilmiş ve istikrarlı bir fon modeline geçişini desteklemek
Zafiyet tanımlamada güvenilirliği artırma
- Vakıf, zafiyet tanımlamayı daha güvenilir hale getirmek için katılımı, uluslararası topluluk iş birliğini ve şeffaflığı kullanıyor
- Amaç, zafiyet tanımlamanın herkes için daha kolay ve daha güvenilir bir süreç olmasına yardımcı olmak
1 yorum
Hacker News yorumları
Değişikliklere bakılırsa sözleşme son anda yenilenmiş görünüyor
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Meşruiyetinden şüphe eden yorumlara dair: CVE Yönetim Kurulu üyelerinden birinin LinkedIn paylaşımı var. Aslında şu listedeki[0] ilk kişi: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Diğer CVE Yönetim Kurulu üyelerinin iletişim bilgileri veya açık kanalları bulunursa ilgili konuda daha fazla şey bulunabilir gibi görünüyor
[0]: https://www.cve.org/programorganization/board
Bununla ilgili devam eden başlıklar:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Artık yazılım sektörünün en büyük şirketlerinin resmi bir konsorsiyum benzeri yapıyla devreye girme zamanı olduğunu düşünüyorum. En büyük faydayı onlar gördüğü için böyle bir model mantıklı
Büyük teknoloji şirketleri kendi ürün güvenlikleri için CVE’ye dayanıyor; muazzam gelirleri ve özel güvenlik ekipleri olduğundan CVE’nin işletme maliyetlerini rahatlıkla karşılayabilirler. Konsorsiyum modeliyle sorumluluk da adil biçimde paylaşılabilir. Sorumluluk da fayda da paylaşılmış olur; güvenlik herkesin meselesi
Genel olarak avukatlar ve CTO’ların CVE’nin ortadan kalkmasını ya da sektöre devredilmesini sevebilme ihtimali yüksek. Kaynak: Güvenlik alanında 20 yılı aşkın çalıştım
50 bin leetcoder’ın kendi başına yapamadığı ve onsuz yaşayamadığı o paketten bahsediyorum
Gereken şey, çok sayıda denge-denetim ve gözetim mekanizmasına sahip uluslararası bir siber tehdit istihbaratı ağı. “Masrafı kim karşılayacak?” diye sorulacaksa, “teknoloji sektöründen gerçekten kâr eden taraf kim?” de sorulmalı
Bu bir güvenlik meselesi olduğu için en kötüsünü varsaymak gerekir. MITRE devir teslimi doğrulayana kadar meşru sayılamaz; doğrulasa bile soru sormak için yeterince alan var
İnsanların hükümetin de Facebook gibi “hızlı hareket edip bir şeyleri kırması” gerektiğini söyleyip durması, ama Facebook’un bu süreç için bu yıl 60-65 milyar dolar harcamaya karar verdiği kısmını atlaması komik
Oysa hükümet hızlı hareket edip bir şeyleri kırdığında nedense buna “asgari maliyet” de dahil oluyormuş. “Hızlı, ucuz, iyi: ikisini seç” sözü akla geliyor
Birkaç on yıl önce sistem yöneticiliğinden yazılım geliştirmeye geçtiğimden beri güvenlik açıklarını aktif olarak takip etmedim. Bugünlerde daha çok ünlü açıklara dair haberleri okuyorum ve cert’ten çok daha sık CVE görüyorum
Eskiden cert’e bakardım: https://www.kb.cert.org/vuls/ Az önce hızlıca arayınca hâlâ durduğunu gördüm. İkisinin farkı ya da ilişkisi nedir?
MITRE bütçesinin ne kadar olduğunu merak ediyorum. CISA’nın CVE programı bütçesi ayrı kalem olarak yayımlanmıyor, ama gördüğüm kadarıyla yılda onlarca milyon dolar düzeyinde deniyor
CVE programı önemli olsa da bu bana fazla geliyor
Böyle veriler için merkeziyetsiz bir veritabanı gerekiyorsa, blockchain gerçekten iyi bir kullanım alanı olabilir diye düşünüyorum
Mutabakat gerekiyor, değiştirilemez olmalı ve dağıtık olmalı. CVE veritabanına ihtiyaç duyan kullanıcılar BitTorrent’ten ya da başka bir yerden defterin bir kopyasını indirip tüm veriyi veya güncellemeleri ayrıştırabilir. CVE’nin güncelleme sayısı aşırı fazla değil ve zaten hepsinin kalıcı olarak izlenmesi gerekiyor. Güncellemeler zincire bir kayıt daha eklenerek işlenebilir; kötü niyetli aktörlerin keyfi biçimde değiştirmesi de zor olur
Merkezi bir veritabanı ve aynalar yeterli; şimdiye kadar da bu yöntemle sorun yaşanmadı. Gereken şey, verinin serbestçe kullanılmasını ve paylaşılmasını sağlamak; mümkünse başka kurumların da yazılım güvenlik açıklarını sınıflandırarak bir ölçüde yedeklilik ve çoğaltma sağlaması
Gerçek olmasını isterdim ama elde gerçek bilgi çok az. Hem duyuruya karşılık verdiklerini söylüyorlar hem de bir yıldır hazırlandıklarını söylüyorlar
Son kısım gerçekten bu kadar titizlikle hazırlanmış olsaydı muhtemelen daha erken bir şey duyururlardı; bu yüzden şüpheli. Burada çeşitli çabaların bölünmesi olası görünüyor. Herkesin tek bir çözüm etrafında toplanması iyi olurdu ama bunun o çözüm olup olmadığını bilmiyorum. ABD merkezli bir kâr amacı gütmeyen kuruluş en iyi çözüm olmayabilir