Quỹ CVE
(thecvefoundation.org)- CVE Foundation muốn xây dựng một cộng đồng toàn cầu đáng tin cậy và ổn định để hỗ trợ vận hành lâu dài CVE Program
- Thách thức lớn nhất là chuyển CVE Program sang một mô hình tài trợ đa dạng và ổn định, không phụ thuộc vào một dòng vốn duy nhất
- Để nâng cao niềm tin vào quy trình định danh lỗ hổng, quỹ lấy sự tham gia, hợp tác cộng đồng quốc tế và tính minh bạch làm các phương tiện cốt lõi
- Quỹ hỗ trợ để việc định danh lỗ hổng trở thành một quy trình dễ dàng hơn và được tin cậy hơn đối với tất cả mọi người
- Tính bền vững của CVE Program phụ thuộc đồng thời vào việc ổn định cơ cấu tài trợ và củng cố nền tảng hợp tác toàn cầu
Ổn định nền tảng vận hành CVE Program
- CVE Foundation đặt mục tiêu bảo đảm tương lai ổn định cho CVE Program
- Trọng tâm hiện tại là hỗ trợ chuyển CVE Program từ một dòng tài trợ duy nhất sang mô hình tài trợ đa dạng và ổn định
Tăng cường độ tin cậy trong định danh lỗ hổng
- Quỹ sử dụng sự tham gia, hợp tác cộng đồng quốc tế và tính minh bạch để làm cho việc định danh lỗ hổng trở nên đáng tin cậy hơn
- Mục tiêu là giúp việc định danh lỗ hổng trở thành một quy trình dễ dàng hơn và được tin cậy hơn đối với tất cả mọi người
1 bình luận
Các ý kiến trên Hacker News
Dựa trên nội dung chỉnh sửa, có vẻ hợp đồng đã được gia hạn vào phút chót
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Về các bình luận nghi ngờ tính chính danh: có một bài đăng LinkedIn của một trong các thành viên hội đồng CVE. Thực ra đây là người đầu tiên trong danh sách này[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Nếu tìm thông tin liên hệ hoặc các kênh công khai của những thành viên hội đồng CVE khác, có lẽ sẽ tìm được thêm nội dung liên quan
[0]: https://www.cve.org/programorganization/board
Các luồng thảo luận liên quan đang diễn ra:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Tôi nghĩ đã đến lúc những công ty lớn nhất trong ngành phần mềm đứng ra theo một hình thức như liên minh chính thức. Vì họ hưởng lợi nhiều nhất nên mô hình đó là hợp lý
Các công ty công nghệ lớn dựa vào CVE để bảo mật sản phẩm của mình, có doanh thu khổng lồ và đội ngũ bảo mật chuyên trách, nên hoàn toàn có thể dễ dàng chi trả chi phí vận hành CVE. Mô hình liên minh cũng có thể phân chia trách nhiệm một cách công bằng. Trách nhiệm được chia sẻ, lợi ích cũng được chia sẻ, và bảo mật là vấn đề của tất cả mọi người
Nhìn chung, các luật sư và CTO rất có thể sẽ thích việc CVE biến mất hoặc được chuyển về tay ngành. Nguồn: đã làm trong lĩnh vực bảo mật hơn 20 năm
Chính là cái gói mà 50.000 leetcoder không tự viết nổi và cũng không sống thiếu nó được ấy
Thứ cần thiết là một mạng lưới thông tin mối đe dọa mạng quốc tế với nhiều cơ chế kiểm soát, cân bằng và giám sát. Nếu hỏi “ai trả tiền?”, thì cũng phải hỏi “ai là bên thực sự thu lợi từ ngành công nghệ?”
Vì đây là vấn đề bảo mật nên phải giả định kịch bản xấu nhất. Cho đến khi MITRE xác nhận việc bàn giao, không thể xem đây là chính danh; và ngay cả khi họ xác nhận thì vẫn còn rất nhiều lý do để đặt câu hỏi
Thật buồn cười là mọi người cứ nói chính phủ cũng nên giống Facebook, ‘di chuyển nhanh và phá vỡ mọi thứ’, nhưng lại bỏ qua chuyện Facebook dự kiến chi 60–65 tỷ USD trong năm nay cho quá trình đó
Thế nhưng khi chính phủ di chuyển nhanh và phá vỡ mọi thứ thì bằng cách nào đó còn phải kèm cả ‘chi phí tối thiểu’. Làm tôi nhớ đến câu “nhanh, rẻ, tốt: chỉ được chọn hai”
Từ khi chuyển từ quản trị hệ thống sang phát triển phần mềm vài chục năm trước, tôi không còn chủ động theo dõi các lỗ hổng bảo mật nữa. Dạo này tôi chủ yếu đọc tin tức về các lỗ hổng nổi tiếng, và thấy CVE xuất hiện thường xuyên hơn nhiều so với cert
Trước đây tôi xem cert: https://www.kb.cert.org/vuls/ Tôi vừa tìm nhanh thì thấy nó vẫn còn. Sự khác nhau hoặc mối quan hệ giữa hai bên là gì?
Tôi tò mò ngân sách của MITRE là bao nhiêu. Ngân sách chương trình CVE của CISA không được công bố tách riêng, nhưng theo những gì tôi thấy thì ở mức hàng chục triệu USD mỗi năm
Dù chương trình CVE quan trọng, con số đó có vẻ hơi quá
Nếu cần một cơ sở dữ liệu phi tập trung cho loại dữ liệu này, tôi nghĩ blockchain có thể thực sự là một ứng dụng phù hợp
Cần có đồng thuận, phải bất biến và phân tán. Người dùng cần cơ sở dữ liệu CVE có thể lấy một bản sao sổ cái từ BitTorrent hay bất cứ đâu rồi phân tích toàn bộ dữ liệu hoặc các bản cập nhật. CVE cũng không có quá nhiều cập nhật, và dù sao tất cả đều phải được theo dõi vĩnh viễn. Việc cập nhật có thể được xử lý bằng cách thêm một mục vào chuỗi, và tác nhân độc hại cũng khó tùy tiện sửa đổi
Chỉ cần cơ sở dữ liệu trung tâm và các bản mirror là đủ, và từ trước đến nay cách đó vẫn ổn. Điều cần thiết là cho phép dữ liệu được sử dụng và chia sẻ tự do, và nếu có thể, các tổ chức khác cũng phân loại lỗ hổng phần mềm để cung cấp một mức độ dư thừa và sao chép nhất định
Tôi mong đây là thật, nhưng thông tin thực tế rất ít. Họ vừa nói đang phản ứng với thông báo, lại vừa nói đã chuẩn bị suốt 1 năm
Nếu phần cuối thực sự đã được chuẩn bị kỹ lưỡng như vậy thì có lẽ họ đã công bố điều gì đó sớm hơn, nên tôi thấy đáng nghi. Có vẻ ở đây nhiều nỗ lực có thể sẽ bị phân tán. Sẽ tốt nếu mọi người tập trung quanh một giải pháp duy nhất, nhưng tôi không biết đây có phải giải pháp đó không. Một tổ chức phi lợi nhuận đặt tại Mỹ có thể không phải là giải pháp tốt nhất