Quỹ CVE

 (thecvefoundation.org)
1 điểm bởi GN⁺ 2025-04-17 | 1 bình luận | Chia sẻ qua WhatsApp
  • CVE Foundation được thành lập כדי bảo đảm tính bền vững lâu dài và tính độc lập của Chương trình CVE
  • Chương trình CVE đã là một trụ cột quan trọng của hạ tầng an ninh mạng toàn cầu trong suốt 25 năm
  • Việc hợp đồng với chính phủ Mỹ chấm dứt đã làm nổi lên nhu cầu vận hành độc lập cho Chương trình CVE
  • CVE Foundation, với tư cách là một tổ chức phi lợi nhuận, sẽ tiếp tục cung cấp hoạt động định danh lỗ hổng chất lượng cao
  • Điều này mang lại một cơ hội quan trọng cho cộng đồng an ninh mạng quốc tế

Bối cảnh thành lập CVE Foundation

  • CVE Foundation đã chính thức được thành lập, tạo nền tảng để bảo đảm tính bền vững lâu dài và tính độc lập của Chương trình CVE
  • Chương trình CVE trước đây được vận hành bằng nguồn tài trợ của chính phủ Mỹ, nhưng đã xuất hiện lo ngại về cấu trúc phụ thuộc vào sự bảo trợ của một chính phủ duy nhất

Tầm quan trọng của Chương trình CVE

  • CVE là một thành tố cốt lõi của hệ sinh thái an ninh mạng toàn cầu, là nguồn tài nguyên quan trọng được các chuyên gia bảo mật sử dụng hằng ngày
  • Các mã định danh và dữ liệu CVE là yếu tố thiết yếu cho các công cụ bảo mật, khuyến cáo, tình báo mối đe dọa và hoạt động ứng phó

Vai trò của CVE Foundation

  • CVE Foundation loại bỏ điểm lỗi đơn trong hệ sinh thái quản lý lỗ hổng và bảo đảm Chương trình CVE tiếp tục là một sáng kiến do cộng đồng dẫn dắt, được tin cậy trên toàn cầu
  • Tổ chức này mang lại cơ hội để thiết lập mô hình quản trị phù hợp với cộng đồng an ninh mạng quốc tế

Kế hoạch sắp tới

  • CVE Foundation sẽ cung cấp thông tin về cơ cấu, kế hoạch chuyển đổi và các cơ hội để cộng đồng tham gia
  • Có thể liên hệ qua info@thecvefoundation.org để biết thêm thông tin hoặc gửi câu hỏi

Bài viết liên quan

1 bình luận

 
GN⁺ 2025-04-17
Ý kiến trên Hacker News
  • Chia sẻ liên kết đến bài đăng LinkedIn của một thành viên hội đồng CVE, đồng thời nhắc rằng có thể tìm thấy thông tin liên quan trên nền tảng phát sóng cũng như thông tin liên hệ của các thành viên hội đồng khác
  • Đưa ra đính chính rằng hợp đồng đã được gia hạn vào phút chót
  • Cho rằng đã đến lúc các công ty lớn trong ngành phần mềm nên đứng ra thông qua một consortium chính thức
    • Mô hình này là hợp lý vì họ là bên hưởng lợi nhiều nhất
    • Các công ty công nghệ lớn bảo vệ sản phẩm của mình thông qua CVE
    • Họ có doanh thu khổng lồ và các đội ngũ bảo mật chuyên trách, nên có thể dễ dàng hỗ trợ vận hành CVE
    • Cách tiếp cận theo consortium giúp phân chia trách nhiệm một cách công bằng
    • Bảo mật là vấn đề của tất cả mọi người
  • Chia sẻ liên kết tới một thread liên quan đang diễn ra
  • Vì đây là vấn đề bảo mật nên phải giả định kịch bản xấu nhất, và nên xem là không hợp pháp trừ khi MITRE xác nhận việc tiếp quản
  • Thắc mắc về ngân sách của MITRE; thấy rằng nguồn tài trợ từ CISA cho chương trình CVE không được tách bạch rõ ràng, nhưng dường như là hàng chục triệu đô la mỗi năm
  • Kể từ khi chuyển từ quản trị hệ thống sang phát triển phần mềm, không còn chủ động theo dõi các lỗ hổng bảo mật nữa, mà giờ chủ yếu đọc tin về các lỗ hổng nổi bật
    • Thấy CVE nhiều hơn cert
    • Thắc mắc sự khác biệt và mối quan hệ giữa cert với CVE
  • Nếu tình hình này được duy trì, thì cho rằng đây là kết quả tốt hơn trước
  • Vì thông cáo báo chí gần như không có thông tin nên có nhiều bình luận tiêu cực, nhưng vẫn ủng hộ vì có lý do để tin rằng việc này là hợp pháp
  • Mong rằng tình huống này là hợp pháp
    • Dù họ nói đang phản hồi trước thông báo và đã lên kế hoạch suốt 1 năm, vẫn nghi ngờ rằng nếu phần cuối thực sự được lên kế hoạch kỹ thì hẳn đã công bố sớm hơn
    • Cho rằng có khả năng nỗ lực sẽ bị phân tán
    • Sẽ tốt hơn nếu mọi người cùng ủng hộ một giải pháp duy nhất, nhưng không chắc đây có phải là giải pháp đó hay không
    • Một tổ chức phi lợi nhuận đặt tại Mỹ có thể không phải là giải pháp tốt nhất