1 điểm bởi GN⁺ 2025-04-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • CVE Foundation muốn xây dựng một cộng đồng toàn cầu đáng tin cậy và ổn định để hỗ trợ vận hành lâu dài CVE Program
  • Thách thức lớn nhất là chuyển CVE Program sang một mô hình tài trợ đa dạng và ổn định, không phụ thuộc vào một dòng vốn duy nhất
  • Để nâng cao niềm tin vào quy trình định danh lỗ hổng, quỹ lấy sự tham gia, hợp tác cộng đồng quốc tế và tính minh bạch làm các phương tiện cốt lõi
  • Quỹ hỗ trợ để việc định danh lỗ hổng trở thành một quy trình dễ dàng hơn và được tin cậy hơn đối với tất cả mọi người
  • Tính bền vững của CVE Program phụ thuộc đồng thời vào việc ổn định cơ cấu tài trợ và củng cố nền tảng hợp tác toàn cầu

Ổn định nền tảng vận hành CVE Program

  • CVE Foundation đặt mục tiêu bảo đảm tương lai ổn định cho CVE Program
  • Trọng tâm hiện tại là hỗ trợ chuyển CVE Program từ một dòng tài trợ duy nhất sang mô hình tài trợ đa dạng và ổn định

Tăng cường độ tin cậy trong định danh lỗ hổng

1 bình luận

 
GN⁺ 2025-04-17
Các ý kiến trên Hacker News
  • Dựa trên nội dung chỉnh sửa, có vẻ hợp đồng đã được gia hạn vào phút chót
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • nguồn nào không phải Forbes xác nhận điều này không?
  • Về các bình luận nghi ngờ tính chính danh: có một bài đăng LinkedIn của một trong các thành viên hội đồng CVE. Thực ra đây là người đầu tiên trong danh sách này[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    Nếu tìm thông tin liên hệ hoặc các kênh công khai của những thành viên hội đồng CVE khác, có lẽ sẽ tìm được thêm nội dung liên quan
    [0]: https://www.cve.org/programorganization/board

  • Các luồng thảo luận liên quan đang diễn ra:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Tôi nghĩ đã đến lúc những công ty lớn nhất trong ngành phần mềm đứng ra theo một hình thức như liên minh chính thức. Vì họ hưởng lợi nhiều nhất nên mô hình đó là hợp lý
    Các công ty công nghệ lớn dựa vào CVE để bảo mật sản phẩm của mình, có doanh thu khổng lồ và đội ngũ bảo mật chuyên trách, nên hoàn toàn có thể dễ dàng chi trả chi phí vận hành CVE. Mô hình liên minh cũng có thể phân chia trách nhiệm một cách công bằng. Trách nhiệm được chia sẻ, lợi ích cũng được chia sẻ, và bảo mật là vấn đề của tất cả mọi người

    • Haha, ngay từ đầu CVE được tạo ra vì ngành này từ chối theo dõi và báo cáo lỗ hổng một cách nhất quán, minh bạch. Nếu được lựa chọn, doanh nghiệp gần như luôn chọn con đường dễ, và khi trách nhiệm giải trình từ bên ngoài biến mất, chương trình quản lý lỗ hổng có thể bị kéo lùi không chỉ vài năm mà là vài thập kỷ
      Nhìn chung, các luật sư và CTO rất có thể sẽ thích việc CVE biến mất hoặc được chuyển về tay ngành. Nguồn: đã làm trong lĩnh vực bảo mật hơn 20 năm
    • Nhân lúc các công ty lớn nhất trong ngành phần mềm đứng ra, hy vọng công ty nghìn tỷ đô la của các anh cũng ném cho lập trình viên đang duy trì gói mã nguồn mở mà các anh phụ thuộc vào dù chỉ 5 đô la
      Chính là cái gói mà 50.000 leetcoder không tự viết nổi và cũng không sống thiếu nó được ấy
    • Trong các vấn đề bảo mật, đối tượng tôi tuyệt đối không tin tưởng là Big Tech của Mỹ. Dù là liên minh hay không, ý tưởng này không có triển vọng
      Thứ cần thiết là một mạng lưới thông tin mối đe dọa mạng quốc tế với nhiều cơ chế kiểm soát, cân bằng và giám sát. Nếu hỏi “ai trả tiền?”, thì cũng phải hỏi “ai là bên thực sự thu lợi từ ngành công nghệ?”
  • Vì đây là vấn đề bảo mật nên phải giả định kịch bản xấu nhất. Cho đến khi MITRE xác nhận việc bàn giao, không thể xem đây là chính danh; và ngay cả khi họ xác nhận thì vẫn còn rất nhiều lý do để đặt câu hỏi

  • Thật buồn cười là mọi người cứ nói chính phủ cũng nên giống Facebook, ‘di chuyển nhanh và phá vỡ mọi thứ’, nhưng lại bỏ qua chuyện Facebook dự kiến chi 60–65 tỷ USD trong năm nay cho quá trình đó
    Thế nhưng khi chính phủ di chuyển nhanh và phá vỡ mọi thứ thì bằng cách nào đó còn phải kèm cả ‘chi phí tối thiểu’. Làm tôi nhớ đến câu “nhanh, rẻ, tốt: chỉ được chọn hai”

  • Từ khi chuyển từ quản trị hệ thống sang phát triển phần mềm vài chục năm trước, tôi không còn chủ động theo dõi các lỗ hổng bảo mật nữa. Dạo này tôi chủ yếu đọc tin tức về các lỗ hổng nổi tiếng, và thấy CVE xuất hiện thường xuyên hơn nhiều so với cert
    Trước đây tôi xem cert: https://www.kb.cert.org/vuls/ Tôi vừa tìm nhanh thì thấy nó vẫn còn. Sự khác nhau hoặc mối quan hệ giữa hai bên là gì?

    • Khác biệt lớn nhất là CVE đã bị chính phủ Mỹ chấm dứt mà không báo trước vào hôm qua, và chương trình này kết thúc hôm nay
  • Tôi tò mò ngân sách của MITRE là bao nhiêu. Ngân sách chương trình CVE của CISA không được công bố tách riêng, nhưng theo những gì tôi thấy thì ở mức hàng chục triệu USD mỗi năm
    Dù chương trình CVE quan trọng, con số đó có vẻ hơi quá

    • 40 triệu USD mỗi năm
  • Nếu cần một cơ sở dữ liệu phi tập trung cho loại dữ liệu này, tôi nghĩ blockchain có thể thực sự là một ứng dụng phù hợp
    Cần có đồng thuận, phải bất biến và phân tán. Người dùng cần cơ sở dữ liệu CVE có thể lấy một bản sao sổ cái từ BitTorrent hay bất cứ đâu rồi phân tích toàn bộ dữ liệu hoặc các bản cập nhật. CVE cũng không có quá nhiều cập nhật, và dù sao tất cả đều phải được theo dõi vĩnh viễn. Việc cập nhật có thể được xử lý bằng cách thêm một mục vào chuỗi, và tác nhân độc hại cũng khó tùy tiện sửa đổi

    • Không cần đồng thuận, cũng không cần bất biến. Đây chỉ là dữ liệu mang tính khuyến cáo. Một chủ sở hữu nào đó có kiểm duyệt hay thao túng dữ liệu CVE trong kho của mình thì cũng chẳng được gì ngoài việc gây khó chịu cho người dùng
      Chỉ cần cơ sở dữ liệu trung tâm và các bản mirror là đủ, và từ trước đến nay cách đó vẫn ổn. Điều cần thiết là cho phép dữ liệu được sử dụng và chia sẻ tự do, và nếu có thể, các tổ chức khác cũng phân loại lỗ hổng phần mềm để cung cấp một mức độ dư thừa và sao chép nhất định
  • Tôi mong đây là thật, nhưng thông tin thực tế rất ít. Họ vừa nói đang phản ứng với thông báo, lại vừa nói đã chuẩn bị suốt 1 năm
    Nếu phần cuối thực sự đã được chuẩn bị kỹ lưỡng như vậy thì có lẽ họ đã công bố điều gì đó sớm hơn, nên tôi thấy đáng nghi. Có vẻ ở đây nhiều nỗ lực có thể sẽ bị phân tán. Sẽ tốt nếu mọi người tập trung quanh một giải pháp duy nhất, nhưng tôi không biết đây có phải giải pháp đó không. Một tổ chức phi lợi nhuận đặt tại Mỹ có thể không phải là giải pháp tốt nhất