CVE Vakfı

 (thecvefoundation.org)
1 puan yazan GN⁺ 2025-04-17 | 1 yorum | WhatsApp'ta paylaş
  • CVE Foundation, CVE Programı'nın uzun vadeli sürdürülebilirliğini ve bağımsızlığını güvence altına almak için kuruldu
  • CVE Programı, 25 yıldır küresel siber güvenlik altyapısının önemli bir dayanağı olarak hizmet veriyor
  • ABD hükümetiyle yapılan sözleşmenin sona ermesi nedeniyle CVE Programı'nın bağımsız işletimine duyulan ihtiyaç öne çıktı
  • CVE Foundation, kâr amacı gütmeyen bir kuruluş olarak yüksek kaliteli zafiyet tanımlamalarını sunmayı sürdürmeyi planlıyor
  • Uluslararası siber güvenlik topluluğu için önemli bir fırsat sunuyor

CVE Vakfı'nın kuruluş arka planı

  • CVE Foundation resmen kurularak CVE Programı'nın uzun vadeli sürdürülebilirliğini ve bağımsızlığını güvence altına alacak temelin oluşturulduğu açıklandı
  • CVE Programı bugüne kadar ABD hükümetinin finansmanıyla yürütülüyordu, ancak tek bir devlet sponsoruna bağımlı bu yapı hakkında endişeler dile getiriliyordu

CVE Programı'nın önemi

  • CVE, küresel siber güvenlik ekosisteminin temel unsurlarından biri ve güvenlik profesyonellerinin günlük olarak kullandığı kritik bir kaynak
  • CVE tanımlayıcıları ve verileri; güvenlik araçları, tavsiyeler, tehdit istihbaratı ve müdahale süreçleri için vazgeçilmez

CVE Foundation'ın rolü

  • CVE Foundation, zafiyet yönetimi ekosistemindeki tek hata noktasını ortadan kaldırmayı ve CVE Programı'nın küresel güvene sahip, topluluk odaklı bir girişim olarak kalmasını sağlamayı hedefliyor
  • Uluslararası siber güvenlik topluluğuna uygun bir yönetişim yapısı kurma fırsatı sunuyor

Gelecek planları

  • CVE Foundation, yapı, geçiş planı ve topluluk katılımı fırsatları hakkında bilgi paylaşacak
  • Ek bilgi veya sorular için info@thecvefoundation.org adresiyle iletişime geçilebilir

İlgili okumalar

1 yorum

 
GN⁺ 2025-04-17
Hacker News görüşleri
  • CVE yönetim kurulu üyelerinden birinin LinkedIn gönderisinin bağlantısını paylaşarak, diğer kurul üyelerinin iletişim bilgileriyle birlikte yayın platformlarında da ilgili bilgilerin bulunabileceğini belirtiyor
  • Sözleşmenin son anda yenilendiğine dair bir düzeltme sunuyor
  • Yazılım sektörünün büyük şirketlerinin resmi bir konsorsiyum aracılığıyla devreye girmesinin zamanı geldiğini düşünüyor
    • En büyük faydayı onlar sağladığı için bu model mantıklı
    • Büyük teknoloji şirketleri ürünlerini CVE aracılığıyla koruyor
    • Devasa gelirleri ve özel güvenlik ekipleri olduğu için CVE operasyonlarını desteklemeleri kolay olur
    • Konsorsiyum yaklaşımı sorumluluğu adil biçimde paylaştırır
    • Güvenlik herkesin sorunu
  • Konuyla ilgili devam eden bir tartışma dizisinin bağlantısını paylaşıyor
  • Bu bir güvenlik meselesi olduğu için en kötü senaryonun varsayılması gerektiğini ve MITRE devri doğrulayana kadar bunun meşru olmadığının varsayılması gerektiğini söylüyor
  • MITRE'nin bütçesini merak ediyor; CISA'nın CVE programına sağladığı finansman net biçimde ayrılmamış olsa da bunun yılda onlarca milyon dolar olduğunu gördüğünü belirtiyor
  • Sistem yönetiminden yazılım geliştirmeye geçtikten sonra güvenlik açıklarını aktif olarak izlemediğini, bugünlerde ise yüksek profilli açıklarla ilgili haberleri okuduğunu söylüyor
    • certten çok CVE görüyor
    • certin farkını ve CVE ile ilişkisini merak ediyor
  • Bu durum böyle kalırsa bunun öncekinden daha iyi bir sonuç olduğunu düşünüyor
  • Basın bülteninde neredeyse hiç bilgi olmadığı için çok sayıda olumsuz yorum var, ancak meşru olduğuna inanmak için nedenler bulunduğundan bunu destekliyor
  • Bu durumun meşru olmasını umuyor
    • Duyuruya yanıt verdiklerini ve bir yıldır bunun planını yaptıklarını söylüyorlar, ancak son kısım gerçekten güçlü biçimde planlanmış olsaydı bunu daha erken duyurmuş olurlardı diye şüphe ediyor
    • Çabaların bölünme ihtimali olduğunu düşünüyor
    • Herkesin tek bir çözümü desteklemesi iyi olurdu, ancak bunun o çözüm olup olmadığından emin değil
    • ABD merkezli bir kâr amacı gütmeyen kuruluş en iyi çözüm olmayabilir