CVE nie zniknie. Dobre wieści zza Oceanu

15 kwietnia br. MITRE poinformowało, że finansowanie projektu CVE obowiązuje jedynie do następnego dnia.

„W środę, 16 kwietnia 2025 roku, wygaśnie obecna umowa, na podstawie której MITRE rozwija, obsługuje i unowocześnia system CVE oraz inne powiązane programy, takie jak CWE. Rząd nadal intensywnie pracuje nad tym, by MITRE mogło dalej pełnić swoją rolę we wspieraniu tych inicjatyw” – przekazał wówczas Yosry Barsoum, wiceprezydent MITRE.

Dlaczego CVE jest ważne?

CVE to skrót od angielskiego „Common Vulnerabilities and Exposures”, które można tłumaczyć jako „powszechne podatności i zagrożenia”. Na stronie CVE możemy przeczytać:

„Misją Programu CVE jest identyfikowanie, definiowanie i katalogowanie publicznie ujawnionych luk w zabezpieczeniach. Dla każdej luki w katalogu tworzony jest jeden rekord CVE. Luki są wykrywane, a następnie przypisywane i publikowane przez organizacje z całego świata współpracujące z Programem CVE. Partnerzy publikują rekordy CVE, aby zapewnić spójny sposób opisywania luk. Specjaliści ds. IT i cyberbezpieczeństwa korzystają z rekordów CVE, aby mieć pewność, że mówią o tym samym problemie oraz by lepiej koordynować działania związane z priorytetyzacją i eliminowaniem zagrożeń”.

W praktyce CVE pozwala na nadanie podatności konkretnego identyfikatora. Dodatkowo, można przypisać konkretne CWE (Common Weakness Enumeration, można tłumaczyć jako „powszechny wykaz zagrożeń”). Dalszym krokiem jest nadanie jej wartości CVSS (Common Vulnerability Scoring System, dosł. powszechny system punktowania podatności), dzięki czemu określa się jej parametry wpływające na „wagę” podatności.

Przykładowo – podatności umożliwiającej atak WannaCry nadano identyfikator CVE-2017-0147. Dzięki temu każdy mógł operować jednym wyrażeniem, które było jednoznaczne dla osób odpowiedzialnych za zapewnianie odpowiedniego poziomu cyberbezpieczeństwa. W ramach CVSS skatalogowano ją jako 7.5/10 (HIGH).

Dzięki CVE możliwe jest uniwersalne i jednoznaczne podejście do katalogowania podatności. Zaprzestanie prowadzenia tego projektu mogło mieć znaczące skutki w procesie zgłaszania oraz łatania luk w zabezpieczeniach oprogramowania.

CISA: kontynuujemy finansowanie

16 kwietnia około godziny 17 czasu polskiego mogliśmy zapoznać się z wpisem CISA na portalu X. Czytamy w nim:

Program CVE jest nieoceniony dla społeczności cyberbezpieczeństwa i stanowi priorytet CISA. Ostatniej nocy CISA skorzystała z opcji przedłużenia okresu obowiązywania umowy, aby zapewnić, że nie nastąpi przerwa w świadczeniu krytycznych usług CVE. Dziękujemy naszym partnerom i interesariuszom za cierpliwość.
CISA

Tego samego dnia opublikowano stanowisko nowopowstałej Fundacji CVE (CVE Foundation), której zadaniem ma być wspieranie kontynuowania działania projektu CVE. Dotychczas nie przekazano szczegółowych informacji dotyczących przedsięwzięcia poza wyraźnym wskazaniem, że jej celem ma być działalność non-profit.

„CVE, jako fundament globalnego ekosystemu cyberbezpieczeństwa, jest zbyt istotne, by samo być podatne. Specjaliści ds. cyberbezpieczeństwa na całym świecie polegają na identyfikatorach i danych CVE w swojej codziennej pracy – od narzędzi i zaleceń bezpieczeństwa, przez informacje o zagrożeniach, aż po reagowanie. Bez CVE osoby odpowiedzialne za cyberbezpieczeństwo są na straconej pozycji wobec globalnych zagrożeń” – powiedział Kent Landfield, przedstawiciel Fundacji.

BleepingComputerowi udało się ustalić, że finansowanie ma być kontynuowane przez 11 miesięcy.

Wpływ decyzji politycznych

Powyższa sytuacja dobrze pokazuje, że decyzje polityczne mogą mieć duży wpływ na projekty związane z cyberbezpieczeństwem. Warto przy tym wspomnieć, że jednym z CNA (organizacji mogących nadawać identyfikatory CVE) jest CERT Polska.

Miejmy nadzieję, że działanie tak kluczowych przedsięwzięć pozostanie niezachwiane. W momencie pisania artykułu w bazie CVE znajdowało się ok. 275 tys. rekordów.

Serwis CyberDefence24.pl otrzymał tytuł #DigitalEUAmbassador (Ambasadora polityki cyfrowej UE). Jeśli są sprawy, które Was nurtują; pytania, na które nie znacie odpowiedzi; tematy, o których trzeba napisać – zapraszamy do kontaktu. Piszcie do nas na: [email protected].