Адрес: ул. Б. Очаковская 32 Москва Россия
Быстрый поиск
Наши официальные канал и чат в telegram

США могут прекратить финансирование MITRE и программы CVE из-за сокращения бюджета

США могут остановить финансирование MITRE и программы CVE из-за сокращения бюджета. Это может повлиять на поиск уязвимостей

Новости собранные из разных RSS источников
Ответить
root:#
Site Admin
Сообщения: 150
Зарегистрирован: Вт ноя 08, 2022 3:27 pm
Благодарил (а): 34 раза
Поблагодарили: 20 раз

США могут прекратить финансирование MITRE и программы CVE из-за сокращения бюджета

Сообщение root:# »

США могут прекратить финансирование MITRE и программы CVE из-за сокращения бюджета
Министерство внутренней безопасности США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE - Common Weakness Enumeration).

Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE.

На момент написания новости содержимое БД CVE обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено после начала рабочего дня). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале на GitHub.

CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.

Назначение CVE уже частично децентрализовано - многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров. При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих пор проводилась силами MITRE.

Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Apache, Curl, Debian, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE).

Источник: https://www.opennet.ru/opennews/art.shtml?num=63085
Ответить