2 điểm bởi GN⁺ 2025-04-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Do hợp đồng tài trợ của DHS hết hạn, chương trình CVE của MITRE suýt bị dừng vào nửa đêm ngày 16/4/2025, nhưng CISA đã kích hoạt giai đoạn tùy chọn của hợp đồng để ngăn khoảng trống dịch vụ
  • Theo nguồn tin, thời gian gia hạn là 11 tháng; CISA xem CVE là dịch vụ cốt lõi của cộng đồng mạng và là ưu tiên của cơ quan
  • Khi khoản tài trợ bổ sung để vận hành CVE và chương trình CWE được xác nhận vào sáng 16/4, việc gián đoạn dịch vụ theo kế hoạch đã được tránh khỏi
  • CVE là tiêu chuẩn trên thực tế cho việc định danh và quản lý lỗ hổng, là dữ liệu nền tảng mà NVD, vulnrichment của CISA, sản phẩm của các nhà cung cấp bảo mật, CERT và cơ sở dữ liệu lỗ hổng của doanh nghiệp phụ thuộc vào
  • Nguyên nhân hợp đồng hết hạn chưa rõ; nếu thực sự bị dừng, việc thêm bản ghi CVE mới sẽ ngừng lại và các bản ghi hiện có dự kiến được cung cấp qua GitHub

Tránh gián đoạn nhờ CISA gia hạn khẩn cấp

  • Common Vulnerabilities and Exposures của MITRE, tức chương trình CVE, dự kiến hết hạn hợp đồng với DHS vào nửa đêm ngày 16/4/2025
  • Khi CISA kích hoạt giai đoạn tùy chọn của hợp đồng, gián đoạn dịch vụ của chương trình MITRE CVE sẽ không xảy ra
    • CISA cho biết CVE rất quan trọng đối với cộng đồng mạng và là ưu tiên của cơ quan
    • Cơ quan này nói đã kích hoạt giai đoạn tùy chọn của hợp đồng để bảo đảm không có khoảng trống trong các dịch vụ CVE cốt lõi
    • Theo nguồn tin, hợp đồng được gia hạn trong 11 tháng
  • Yosry Barsoum của MITRE cho biết nhờ hành động của chính phủ, chương trình CVE và Common Weakness Enumeration, tức chương trình CWE, đã tránh được việc bị gián đoạn
    • Tính đến sáng 16/4/2025, CISA đã xác nhận khoản tài trợ bổ sung để duy trì hoạt động của chương trình
    • MITRE duy trì lập trường sẽ giữ CVE và CWE là các tài nguyên toàn cầu

Hợp đồng hết hạn theo kế hoạch ban đầu và hệ quả

  • Tính đến ngày 15/4/2025, MITRE đã thông báo với hội đồng CVE rằng nếu hợp đồng với DHS hết hạn, nguồn tài trợ để duy trì cơ sở dữ liệu CVE sẽ bị cắt
  • Phạm vi hết hạn bao gồm công việc MITRE phát triển, vận hành và hiện đại hóa chương trình CVE, cùng chương trình liên quan là chương trình CWE
  • Sasha Romanosky của Rand Corporation đánh giá rằng việc đặt tên CVE và phân bổ theo gói phần mềm, phiên bản là nền tảng của hệ sinh thái lỗ hổng phần mềm
    • Không có CVE, việc theo dõi các lỗ hổng mới được phát hiện sẽ trở nên khó khăn
    • Chấm điểm mức độ nghiêm trọng, dự đoán khai thác và quyết định vá lỗi cũng có thể bị lung lay
  • Ben Edwards của Bitsight đánh giá CVE là một tài nguyên có giá trị cần được cấp vốn, và việc không gia hạn hợp đồng là một sai lầm
    • Nhờ khuôn khổ liên kết và tính mở của CVE, các bên liên quan khác có thể tiếp quản vận hành
    • Tuy nhiên nếu đơn vị vận hành thay đổi, quá trình chuyển đổi có thể rất gập ghềnh

Vai trò của CVE trong hệ sinh thái lỗ hổng

  • Chương trình CVE của MITRE là trụ cột nền tảng của hệ sinh thái an ninh mạng toàn cầu, đồng thời là tiêu chuẩn trên thực tế hướng dẫn việc định danh lỗ hổng và các chương trình quản lý lỗ hổng của bên phòng thủ
  • Dữ liệu CVE cung cấp dữ liệu nền cho sản phẩm của các nhà cung cấp trong các lĩnh vực quản lý lỗ hổng, tình báo mối đe dọa mạng, thông tin bảo mật, quản lý sự kiện, phát hiện và phản ứng ở endpoint
  • NIST bổ sung thêm thông tin cho các bản ghi MITRE CVE thông qua National Vulnerability Database, tức NVD
  • CISA cũng đã bổ sung các bản ghi MITRE CVE bằng chương trình vulnrichment để ứng phó với tình trạng thiếu tài trợ của chương trình NVD
  • MITRE là tác giả gốc của các bản ghi CVE và đóng vai trò nguồn chính để định danh các lỗi bảo mật

Hiệu ứng dây chuyền dự kiến nếu bị gián đoạn

  • Brian Martin, CSO của dự án Security Errata và là cựu thành viên hội đồng CVE, cho rằng nếu nguồn tài trợ cho MITRE biến mất, sẽ xuất hiện hiệu ứng dây chuyền tức thì đối với quản lý lỗ hổng toàn cầu
  • Mô hình liên kết và CVE Numbering Authorities, tức CNA, sẽ không còn có thể cấp ID rồi gửi thông tin cho MITRE để công bố nhanh chóng
  • NVD dựa trên CVE và hiện đã có hơn 30.000 lỗ hổng tồn đọng cùng hơn 80.000 mục “deferred”
    • “deferred” nghĩa là các mục hiện sẽ không được phân tích đầy đủ theo tiêu chí hiện tại
  • Các doanh nghiệp vận hành cơ sở dữ liệu lỗ hổng riêng cũng sẽ phải tìm nguồn tình báo thay thế
  • Cơ sở dữ liệu lỗ hổng quốc gia, bao gồm Trung Quốc và Nga; hàng trăm đến hàng nghìn CERT quốc gia và khu vực trên toàn thế giới; cũng như các chương trình quản lý lỗ hổng của doanh nghiệp phụ thuộc vào CVE/NVD đều có thể bị ảnh hưởng

Nguyên nhân chấm dứt hợp đồng và tình hình ngân sách chính phủ

  • Chưa rõ vì sao DHS định chấm dứt hợp đồng chương trình CVE mà họ đã tài trợ trong 25 năm
  • Chính quyền Trump đã cắt giảm chi tiêu chính phủ trên diện rộng, xoay quanh sáng kiến Department of Government Efficiency của Elon Musk
  • DHS đã tài trợ cho chương trình MITRE CVE thông qua CISA, và CISA đã trải qua hai đợt cắt giảm ngân sách
  • Theo các bản tin, khoảng 1.300 người, gần 40% nhân viên CISA, vẫn thuộc diện có thể bị sa thải
  • Nguồn tin cho biết so với các đợt cắt giảm ngân sách ở những bộ phận khác của chính phủ liên bang, chi phí vận hành chương trình CVE là nhỏ và không đến mức “làm sụp đổ tài chính”

Phương án tư nhân và ứng phó tạm thời

  • Nếu không có gia hạn hợp đồng, từ nửa đêm ngày 16/4/2025, MITRE dự kiến sẽ không thêm bản ghi mới vào cơ sở dữ liệu CVE
  • Các bản ghi CVE hiện có dự kiến được cung cấp trên GitHub
  • Patrick Garrity của VulnCheck cho rằng sau thất bại của NIST NVD trong năm trước, hệ sinh thái lỗ hổng đã trở nên mong manh, và tác động đối với chương trình CVE có thể gây hại cho bên phòng thủ và cộng đồng bảo mật
  • Trong bối cảnh chưa chắc dịch vụ nào của MITRE hoặc chương trình CVE sẽ bị ảnh hưởng, VulnCheck đã chủ động đặt trước 1.000 CVE năm 2025
  • CISA cho biết CVE được chính phủ và ngành công nghiệp dùng để công bố, phân loại và chia sẻ các lỗ hổng công nghệ, đồng thời liên quan đến thông tin lỗ hổng có thể khiến hạ tầng trọng yếu quốc gia gặp rủi ro

1 bình luận

 
GN⁺ 2025-04-17
Ý kiến trên Hacker News
  • Có các luồng thảo luận liên quan đang diễn ra: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Hợp đồng đã được gia hạn với MITRE: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    Có lẽ là gia hạn vô thời hạn. DOGE có thể là một tập hợp những kẻ ngốc, nhưng trong toàn bộ DOD vẫn có những người không ngốc

    • Tôi đoán họ sẽ rút dần vào năm sau. Mục tiêu dài hạn có vẻ là chuyển chương trình CVE sang một mô hình gần với consortium do ngành dẫn dắt
      Không biết bạn có nhận ra không, nhưng họ đang vận hành theo kiểu lập ngân sách zero-base. Trước hết cắt hết, rồi chỉ khôi phục những thứ thật sự quan trọng. Kiểu cắt trước rồi đặt câu hỏi sau
      Việc MITRE là nhà thầu của DoD cũng quan trọng. Việc một công ty được quân đội Mỹ tài trợ vận hành chương trình CVE có thể làm dấy lên lo ngại về xung đột lợi ích trong một hệ sinh thái phụ thuộc vào tính trung lập và niềm tin toàn cầu
    • Luôn rất khó xử khi xử lý những thread dựa trên một bài viết đã bị diễn biến tiếp theo thay thế. Có thể nên mở thread mới bằng bài mới, nhưng vừa có một cuộc thảo luận lớn xong, hơn nữa tin “đã sửa” thường kém hấp dẫn hơn cú sốc ban đầu nên thường không nổi lên
      Dạo này tôi đang thử cách thêm [fixed] vào cuối tiêu đề gốc để báo cho độc giả biết trạng thái đã thay đổi. Không rõ đó có phải cách tốt nhất không, và cũng không chắc tình hình đã thật sự được giải quyết chưa, nhưng có vẻ vẫn tốt hơn là không làm gì. Việc đổi bài viết và tiêu đề của thread hiện có có thể khiến người ta cảm thấy như bị đánh úp quá mạnh
    • Có vẻ vẫn chưa được đăng lên FPDS: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      Hợp đồng hết hạn hôm nay, nhưng có giai đoạn tùy chọn đến tháng 3/2026, và DHS chỉ cần thực hiện tùy chọn đó là được
      Sửa: ngày kết thúc hợp đồng là hôm nay, 16/4, nên nếu tùy chọn không được thực hiện thì việc triển khai đã dừng vào nửa đêm hôm nay. Hợp đồng chính phủ thường đi sát nút như vậy, và việc thực hiện tùy chọn bị trễ cũng khá phổ biến. Nhưng tại sao chỉ vụ này lại ầm ĩ đến thế? Có phải CISA đã phát tín hiệu cho MITRE rằng họ sẽ không thực hiện tùy chọn không?
    • Bài viết nói “không rõ vì sao DHS quyết định chấm dứt hợp đồng sau 25 năm”, nhưng rồi lại đột ngột được gia hạn. Tôi không biết chuyện này liên quan gì đến DOGE
  • Tôi đã mong chuyện như thế này không xảy ra. Tôi tò mò không biết do cấu trúc silo nào đó trong nội bộ DHS mà họ không thấy nhược điểm đủ lớn hay sao
    Tôi không nghĩ bất kỳ chuyên gia nào trong lĩnh vực này lại mạnh miệng nói “cứ khai tử đi, không cần đâu”. Nếu được hỏi, hẳn họ đã nói rất mạnh rằng “làm ơn đừng động vào, cái này cần thiết”
    Tuy nhiên cũng có khả năng các lãnh đạo tài chính cấp cao khi “tự điều tra” đã hiểu sai cách người khác dùng CVE và ai tài trợ cho nó

    • Đây không phải là một quyết định thận trọng dựa trên phân tích chi phí-lợi ích. Nó là mệnh lệnh chính trị phù hợp với chính sách “cắt mọi thứ một cách liều lĩnh và bừa bãi” của chính quyền hiện tại
    • Hiện chúng ta đang ở giữa một cuộc đảo chính. Một công ty ghê tởm như Palantir sẽ được trả nhiều tiền hơn gấp 100 lần để làm một việc tương tự
    • Trông giống kiểu “Chúng ta đang trả MITRE bao nhiêu cơ? Đám Bigballs chỉ cần 1 tuần là làm được hệ thống tốt hơn và tích hợp với xAI. Có gì khó đâu? Gửi bản nháp hợp đồng xAI cho người phụ trách DHS đi”
    • National Vulnerability Database đã không theo kịp luồng CVE hơn 1 năm nay:
      https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
      https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
      https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
      Và còn rất nhiều nguồn khác nữa. Trong nhiều tháng, đó là một thảm họa hoàn toàn, và ở thời điểm này có thể họ đang nghĩ đến việc thay đổi mạnh cách tiếp cận
    • Họ đã bị đám thanh niên ngoài 20 của DOGE dắt mũi. Tôi tò mò khi DOGE vào NSA và NRO thì chúng sẽ đánh cắp thông tin gì rồi nhét vào ổ cứng của mình
      Tất cả những điều này là hành vi tội phạm của chính quyền hiện tại
  • Một liên minh gồm các thành viên hội đồng CVE đã ra mắt CVE Foundation mới “nhằm bảo đảm khả năng tồn tại lâu dài, tính ổn định và độc lập của Common Vulnerabilities and Exposures (CVE) Program”
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • Một consortium như vậy cần phải tránh một cách rõ ràng nguy cơ bị cả nhà cung cấp sản phẩm lẫn các công ty bảo mật chi phối
      Nhà cung cấp sản phẩm có động cơ thao túng quy trình cấp CVE để khớp với lịch sửa lỗi của họ, còn các công ty bảo mật có động cơ giành quyền truy cập ưu tiên vào cơ sở dữ liệu CVE để có lợi thế cạnh tranh
      Không phải là một tổ chức được tài trợ bằng tiền thương mại không thể tránh được kiểu chi phối này, nhưng cũng không dễ. Tôi nghĩ ngay đến mối quan hệ giữa Mozilla Foundation và Google
    • Nếu chính phủ cắt tiền thì họ định tiếp tục làm miễn phí việc này à?
    • Chuyện này có mùi giống một nỗ lực vội vã nhằm tạo điều kiện cho phishing lỗ hổng hơn là một bước tiến thực sự. Bài viết do một người điều hành startup bảo mật đăng, và trang web cũng là một Google site mà mọi người có thể báo cáo với Google là lừa đảo
      Sửa: cứ downvote thoải mái. Có lẽ cách diễn đạt của tôi quá nặng nên làm mờ ý chính. Thật thú vị khi những người không chuyên về bảo mật dễ bị tên tuổi, trích dẫn và thẩm quyền thuyết phục đến mức nào
      Niềm tin không hình thành trong một sớm một chiều, và thật ra cũng chẳng bao giờ hình thành hoàn toàn. Nếu là chuyên gia an toàn thông tin, bạn sẽ không dễ mắc vào kiểu đi vòng chuỗi cung ứng như thế này khi tương lai còn bất định. Hy vọng là sớm thôi chúng ta sẽ không phải kiểm chứng suy nghĩ này, nhưng vẫn cần một mức độ đáng tin cậy và tự động hóa dài hạn nhất định. Thứ cần thiết là một hệ thống mang tính kỹ thuật và được đồng thuận rộng rãi, chứ không phải một “foundation”
  • Điều thật sự mỉa mai là nhiều founder Y Combinator và độc giả HN chính là phía đã khiến chuyện như thế này có thể xảy ra, rồi giờ lại thắc mắc vì sao con rắn đang tự ăn đuôi mình

    • Có khi đây lại là điều họ muốn. Vì nó có thể là một phần của việc tư nhân hóa nhiều chức năng của chính phủ
      Họ, hoặc ít nhất một số người trong họ, có thể thấy đây là cơ hội nắm quyền kiểm soát chức năng này để kiếm tiền. Đó là dòng doanh thu định kỳ, một mô hình thuê bao có giá trị, và khách hàng thật sự cần dịch vụ này. Nếu không cần, chỉ cần tạo luật mới buộc họ phải đăng ký dưới danh nghĩa bảo mật IT
    • Khoản thiếu hụt tài chính chỉ vào khoảng 2 triệu USD. Bất kỳ công ty Mỹ nào cũng có thể khiến vấn đề này biến mất trong chớp mắt
    • Chính xác. Chúc Y Combinator và những người ủng hộ họ sống vui vẻ trong vùng đất tưởng tượng ancap
      Ý là một thế giới nơi NOAA bị giải thể, và bạn phải trả tiền để nhận cảnh báo về những siêu bão được biến đổi khí hậu làm mạnh lên. Chính biến đổi khí hậu đó cũng do cùng kiểu tham lam liều lĩnh, không bị quản lý tạo ra. Không nên có tỷ phú tồn tại, và triệu phú cũng vậy
  • Chẳng phải cách triển khai CVE hiện tại cũng có vấn đề lớn sao? Đặc biệt là chuyện các script kiddie và công cụ AI spam đầy cơ sở dữ liệu, còn các dự án nghiêm túc về bảo mật thì gần như không có tiếng nói gì về “điểm số” được gán cho họ

    • Với tư cách là người tiêu thụ CVE tích cực, đúng, có vấn đề lớn. Nhưng cũng không có thứ gì tốt hơn, và cũng không có ý tưởng nào tốt hơn
      Điểm số phần lớn vô dụng nên nếu biến mất tôi cũng chẳng bận tâm, và thực tế tôi cũng không xem chúng. Chỉ là tôi không hiểu lắm vì sao mọi người lại nổi giận đến vậy về mấy điểm số rác đó
      Nếu điểm CVSS cao tạo ra nhiều việc phải làm, thì tôi cho rằng quy trình quản lý lỗ hổng của bạn đã hỏng. Hoặc bạn đang làm compliance chứ không phải bảo mật. Nếu bạn ghét compliance, điểm CVSS không phải nguyên nhân gốc rễ của nỗi đau
      Một danh sách trung tâm tập hợp và gắn ID ổn định cho “những thứ bạn có thể quan tâm hoặc không” là cực kỳ có giá trị
    • Tự nhiên xuất hiện một lỗ hổng nghiêm trọng 9.8 điểm, dù trong môi trường của tôi tác động bằng 0 cũng không quan trọng. Vì CVE đó, Security Score của tổ chức bị trừ tùy tiện 10 điểm, rồi ban lãnh đạo hỏi khi nào công ty sẽ an toàn trở lại, vì Security Score là đầu ra hữu hình duy nhất để đo lường thành công
    • Ngay từ đầu, điểm số đã không thể chính xác đến thế trên mọi môi trường riêng lẻ. Tôi không biết những nơi khác phụ thuộc vào nó đến mức nào, nhưng những nơi tôi từng làm thì không phụ thuộc nhiều
      Dù vậy, vấn đề điểm số không phải là lý do tốt để thiêu rụi toàn bộ hệ thống CVE
    • Tôi chưa từng thấy ai chạy CVE scanner trên code của mình mà không nhanh chóng kiệt sức
    • Tất nhiên cách triển khai CVE hiện tại có vấn đề. Nếu tiêu đề là “DHS đề xuất cải thiện và tinh gọn chương trình CVE” thì có lẽ mọi người đã hoan hô
      Nhảy từ “cái này có khiếm khuyết” sang “vậy hãy giết nó đi” là một lỗi logic. Một sổ đăng ký bảo mật có khiếm khuyết rõ ràng vẫn tốt hơn là không có sổ đăng ký bảo mật nào
  • Nếu từng làm quản lý CVE trong phần mềm nguồn mở, hẳn bạn đã biết việc cắt giảm tài trợ cho NVD đã kéo dài hơn một năm
    Tháng 4/2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST duy trì National Vulnerability Database (NVD). Đây là một thành phần cốt lõi của hạ tầng an ninh mạng quốc gia. Do phần mềm tăng lên và kéo theo số lỗ hổng tăng, cùng với thay đổi về hỗ trợ giữa các cơ quan, lượng lỗ hổng tồn đọng đang ngày càng lớn. Họ cũng đang xem xét các giải pháp dài hạn như thành lập một liên minh gồm các tổ chức trong ngành, chính phủ và các bên liên quan khác có thể hợp tác nghiên cứu cải thiện NVD
    Tháng 9/2024, Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “Việc xử lý bảo mật và lỗ hổng trong phần mềm ngày càng trở nên quan trọng. Các sự kiện gần đây đã ảnh hưởng tiêu cực đến năng lực của nhiều dự án trong việc xác định vấn đề và bảo đảm chúng được giải quyết kịp thời. Điều này rất đáng lo ngại. Cho đến gần đây, chúng tôi thường phụ thuộc không phải vào dữ liệu của CVE Project, mà vào dữ liệu NVD đã bổ sung thêm thông tin đó.”
    5 năm trước, vào năm 2019, tôi đã giúp chuẩn bị bài trình bày của CERT Director tại Carnegie Mellon, và khi đó cũng đã đề cập đến tình trạng tồn đọng CVE và thiếu nguồn lực. Một phần đáng kể các lỗ hổng được báo cáo thậm chí không được cấp số CVE. Sau đó hàng đợi tăng lên, tài trợ giảm đi, nhưng lượt xem trung bình mỗi năm vẫn dưới 100: https://www.youtube.com/watch?v=WmC65VrnBPI

    • Bài này không giúp ích gì và khá gây rối. Nếu việc ngừng tài trợ đột ngột xảy ra hôm nay là chuyện khác với các đợt cắt giảm tài trợ trước đó, thì mong hãy biên tập cho rõ như vậy, hoặc sau này viết như vậy
    • Tôi thắc mắc chính xác điều gì đã kéo dài hơn một năm
      Tài trợ có vẻ như mới bị cắt hôm nay, và cả hai trích dẫn đều có vẻ nói rằng công việc vẫn đang tiếp diễn và việc đó quan trọng
      Ý là đã có một dạng đe dọa nào đó đối với NVD trong hơn một năm qua à? Tôi chỉ muốn chắc mình hiểu đúng
    • Trong bài đó không có chỗ nào nhắc đến cắt giảm tài trợ
      Bài đó nói rằng số lượng lỗ hổng phần mềm tăng khiến các dự án CVE và NVD khó theo kịp
      Mong đừng tiếp tục rải màu sắc chính trị vào thread này nữa
    • Tôi thấy kiểu bài như vậy trong mọi bài HN có thể bị diễn giải bất lợi cho chính quyền hiện tại. Một tuyên bố sai lệch mơ hồ, rồi sau đó là phần giải thích không khớp với sự thật, hoặc các trích dẫn không hề củng cố cho tuyên bố đó
  • Tôi tự hỏi còn những thứ nào khác mà đa số mọi người thậm chí không biết là tồn tại nhưng lại quan trọng với xã hội, đã âm thầm biến mất trong vài tuần qua
    Chúng ta biết vụ này vì chúng ta biết nó quan trọng. Còn những thứ chúng ta không biết thì sao?

    • Những người từng cổ vũ chuyện này không quan tâm. Cảm giác ổn định tương đối và chất lượng sống của người Mỹ được chống đỡ bởi những thiết chế mà họ hầu như không hiểu hoặc chưa từng nghe đến. Có lẽ phải để họ tự chạm tay vào bếp nóng thôi
    • Có vài thứ được liệt kê ở https://www.project2025.observer/. Tất nhiên đó chỉ là những cơ quan mà phía Trump biết đến và công khai muốn phá hủy, nhưng cũng là một điểm khởi đầu
  • Dù cố diễn giải theo hướng thiện chí nhất có thể, tôi thật sự không nghĩ ra được lý do không ác ý nào để biện minh cho việc này

    • Tôi cho là do thiếu hiểu biết và kiêu ngạo. Có vẻ Mỹ đang đi theo con đường đánh mất vị thế dẫn đầu về công nghệ và khoa học
      Ban lãnh đạo hiện tại dường như không hiểu những thứ không hào nhoáng. Tôi tự hỏi khi nào họ sẽ kéo lùi an toàn thực phẩm. Với RFK thì chắc ông ấy biết vài loại vitamin có thể ngăn salmonella
    • Cực kỳ ngu xuẩn. Dù biện minh là gì thì cũng không quan trọng bằng hậu quả khủng khiếp
      Đây là một trong những việc chính phủ làm vì lợi ích công cộng
    • Đây là bi kịch của tài nguyên chung. Các dự án NVD và CVE đã gặp vấn đề tồn đọng và tài trợ trong nhiều năm, còn phần lớn các hãng bảo mật thì không mặn mà cung cấp thông tin lỗ hổng đúng hạn, vì điều đó có thể làm giảm lợi thế so sánh của họ
      Hoặc họ muốn bán điểm ưu tiên rủi ro thay thế của riêng mình. Công ty nào cũng sẵn lòng dùng dữ liệu NVD và CVE, nhưng không muốn đóng khoản trợ cấp giúp đối thủ. Điều này càng đúng trong một ngành cạnh tranh khốc liệt như an ninh mạng
    • Lý do có thể là muốn giảm chi tiêu chính phủ. Theo tôi thấy thì đây có vẻ không phải là một tổ chức chính phủ thực thụ, nên các tổ chức khác cũng có thể tài trợ. Tôi cũng tò mò mỗi năm tổ chức này tốn bao nhiêu
      MITRE Corporation làm nhiều việc khác nữa và có vẻ có doanh thu hằng năm 2,2 tỷ USD
      Những công ty trị giá hàng nghìn tỷ USD được hưởng lợi từ hệ thống này và cũng đóng góp, chẳng lẽ họ không thể bỏ ra khoảng 0,01% doanh thu cho phần nhỏ nhưng quan trọng này của hạ tầng hay sao?
    • Đây là chủ đề cá nhân tôi thấy khó chịu, nên tôi nghĩ steelmanning phản tác dụng
      steelmanning là một thuật ngữ mới vô dụng ngoài việc làm tín hiệu trong nội nhóm. Đã có một thuật ngữ đủ tốt, tinh tế hơn và có lịch sử phong phú hơn cho cùng khái niệm: “charitability”
      Khác biệt lớn là charitability nói về việc tôn trọng đối phương. Steelmanning thì gần giống việc dùng trí tuệ của mình để làm cho lập luận của đối phương tốt hơn cả chính họ
      Vì charitability dựa trên khái niệm tôn trọng lẫn nhau, nên nếu rõ ràng ai đó không hề tôn trọng mình chút nào, ta có thể đặt câu hỏi vì sao phải đối xử thiện chí với họ. Steelmanning cố tách con người khỏi lập luận, và trớ trêu thay lại vừa kiêu ngạo vừa ngây thơ
  • Nguyên nhân gốc rễ: lỗi tầng 8
    https://www.computerhope.com/jargon/l/layer8.htm