Chương trình CVE đối mặt nguy cơ chấm dứt sớm do không gia hạn được hợp đồng với DHS

 (csoonline.com)
2 điểm bởi GN⁺ 2025-04-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • Chương trình CVE của MITRE là một thành phần cốt lõi của an ninh mạng, đóng vai trò quan trọng trong việc nhận diện và quản lý các lỗ hổng bảo mật
  • CISA đã gia hạn hợp đồng với MITRE để ngăn chặn việc gián đoạn chương trình CVE
  • Việc gia hạn hợp đồng dự kiến kéo dài 11 tháng và nhận được sự ủng hộ từ cộng đồng an ninh mạng toàn cầu
  • Việc chấm dứt hợp đồng có thể gây tác động lớn đến hệ sinh thái an ninh mạng, và có thể cần đến các giải pháp thay thế
  • Khu vực tư nhân như VulnCheck đang nỗ lực lấp khoảng trống của chương trình CVE

Nguy cơ chấm dứt hợp đồng giữa DHS và MITRE

  • Chương trình CVE của MITRE là một cơ sở dữ liệu an ninh mạng quan trọng đã được duy trì suốt 25 năm
  • Khi DHS không gia hạn hợp đồng, chương trình đã đối mặt nguy cơ bị gián đoạn
  • CISA đã ngăn chặn việc gián đoạn chương trình bằng cách gia hạn hợp đồng

Tầm quan trọng của chương trình CVE

  • Chương trình CVE là nền tảng của hệ sinh thái an ninh mạng toàn cầu, thiết yếu cho việc nhận diện và quản lý các lỗ hổng bảo mật
  • NIST và CISA có cung cấp thêm thông tin, nhưng MITRE là nguồn chính của các bản ghi CVE
  • Nếu chương trình bị gián đoạn, việc quản lý an ninh toàn cầu có thể bị ảnh hưởng nghiêm trọng

Bối cảnh của việc chấm dứt hợp đồng

  • Lý do cho quyết định chấm dứt hợp đồng của DHS vẫn chưa rõ ràng
  • Việc cắt giảm ngân sách của chính phủ được cho là nguyên nhân chính
  • Chi phí vận hành chương trình CVE tương đối thấp

Triển vọng sắp tới

  • MITRE dự kiến sẽ không bổ sung các bản ghi CVE mới kể từ ngày 16/4
  • Các bản ghi hiện có sẽ vẫn tiếp tục được cung cấp trên GitHub
  • Khu vực tư nhân có khả năng đưa ra các giải pháp thay thế

Tin liên quan

  • Ý kiến từ các chuyên gia cho rằng nguồn tài trợ của MITRE vẫn còn chưa chắc chắn
  • Mã độc ResolverRAT mới nhắm vào các tổ chức y tế và dược phẩm trên toàn thế giới
  • Tin tức bản vá mới nhất liên quan đến các lỗ hổng của Windowsứng dụng SAP

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-04-17
Ý kiến Hacker News
  • Đang có thảo luận liên quan đến CVE Foundation
  • Hợp đồng với MITRE đã được gia hạn
  • Các thành viên CVE Board đang khởi động một CVE Foundation mới để bảo đảm tính ổn định dài hạn và tính độc lập của chương trình CVE
  • Có vẻ như do sự chia tách giữa các bộ phận bên trong DHS nên họ chưa nhận thức đầy đủ mặt tiêu cực của vấn đề này
  • Dường như một bộ phận tài chính cấp cao không nhận ra tầm quan trọng của chương trình CVE đã đưa ra quyết định sai lầm
  • Nhiều nhà sáng lập ycombinator và độc giả Hacker News đã góp phần tạo ra vấn đề này, và giờ đang đặt câu hỏi về hậu quả của nó
  • Điều này khiến người ta nghĩ đến khả năng những thứ quan trọng khác đối với xã hội cũng đã âm thầm biến mất trong vài tuần gần đây
  • Việc triển khai CVE hiện tại từng có những vấn đề lớn. Đặc biệt, script kiddie và các công cụ AI đã spam cơ sở dữ liệu, trong khi các dự án coi trọng bảo mật lại hầu như không tạo được ảnh hưởng đáng kể đến điểm số
  • Những người quản lý CVE trong phần mềm OSS đã biết rằng việc cắt giảm ngân sách cho NVD đã kéo dài hơn một năm
  • NIST duy trì National Vulnerability Database (NVD), đây là một thành phần cốt lõi của hạ tầng an ninh mạng quốc gia
  • Sự gia tăng của phần mềm kéo theo số lượng lỗ hổng tăng lên, và những thay đổi trong hỗ trợ giữa các cơ quan đang gây khó khăn cho việc xử lý lỗ hổng
  • Như một giải pháp dài hạn, họ đang cân nhắc thành lập một consortium gồm ngành công nghiệp, chính phủ và các tổ chức liên quan khác
  • Yocto Project đã gửi thư ngỏ tới CVE Project và các CNA, bày tỏ lo ngại rằng các sự kiện gần đây đã ảnh hưởng tiêu cực đến việc nhận diện và khắc phục lỗ hổng của dự án
  • Cách đây 5 năm, Giám đốc CERT của Carnegie Mellon đã công bố tình trạng tồn đọng CVE và thiếu hụt nguồn lực, và nhiều lỗ hổng được báo cáo vẫn chưa nhận được số CVE
  • Hợp đồng mới nhất cho việc MITRE tham gia các chương trình CVE và CWE được ký với giá trị USD$29.1m cho giai đoạn từ ngày 17 tháng 4 năm 2024 đến ngày 16 tháng 4 năm 2025, và có khả năng được gia hạn tối đa lên USD$57.8m
  • Việc có gia hạn hợp đồng cho giai đoạn từ ngày 16 tháng 4 năm 2025 đến ngày 16 tháng 4 năm 2026 hay không vẫn chưa được quyết định, và cũng chưa có phương án công khai nào cho một hợp đồng thay thế