В некоммерческой организации MITRE объявили о приостановке финансирования со стороны правительства США (Министерства внутренней безопасности США) программ по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures) и списка видов уязвимостей CWE (Common Weakness Enumeration), что может негативно отразиться на всей глобальной индустрии кибербезопасности.

Также началось общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если не будут найдены альтернативные пути поддержания программы, то совсем скоро может быть остановлено обновление и присвоение новых CVE в MITRE.

Идентификаторы CVE от MITRE имеют критическое значение для инфраструктуры обеспечения безопасности, так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Основные ИБ‑системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, компаниям по ��сему миру придётся найти способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.

Назначение CVE уже частично децентрализовано — многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE‑идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE‑номеров. При этом основная работа по выдаче отдельных CVE‑номеров по запросу до сих пор проводилась силами MITRE.

По текущей ситуации в MITRE прогнозируют ухудшение работы национальных баз данных и рекомендаций по уязвимостям и потенциальные проблемы в реагировании со стороны поставщиков. Система MITRE долгое время выступала универсальным стандартом для идентификации уязвимостей и фокусом внимания инфосек‑сообщества. Она обеспечивала чёткую каталогизацию публично раскрытых уязвимостей, являясь важной частью процесса раскрытия и документирования уязвимостей, а также обмена точной и последовательной информацией относительно угроз и рисков ИБ.

Программа CVE реализовывалась MITRE совместно с федеральными научно‑исследовательскими центрами и финансировалась по нескольким каналам, включая правительство США, отраслевые партнёрства и международные организации. В основном объёме финансовая поддержка MITRE приходила именно со стороны Национального отдела кибербезопасности Министерства внутренней безопасности США (DHS).

В открытом письме к членам совета CVE вице‑президент MITRE Йосри Барсум заявил, что прекращение контракта затрагивает не только CVE, но и связанные с ним программы, в том числе CWE, предупреждая об угрозе фактического паралича в национальных базах уязвимостей, у поставщиков защитного ПО и в службах реагирования на инциденты.

Многие эксперты по ИБ выразили обеспокоенность, опасаясь, что ИБ‑сообщество лишится стандартизированного метода отслеживания новых проблем безопасности, если доступ к API CVE нумерационных органов будет прекращён. Как отметил Брайан Кребс у себя в блоге после того, как ему удалось связаться с MITRE, действительно база данных CVE, скорее всего, перестанет работать совсем скоро. При этом новые опасения по поводу финансирования программы CVE возникли на фоне новостей о том, что Национальный институт стандартов и технологий (NIST) не может раскидать скопившийся большой массив нерассмотренных CVE для верификации и публикации в базе NVD.

После афиширования в СМИ этой ситуации правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён на 11 месяцев. Несмотря на это, участники управляющего совета CVE (CVE Board) объявили о создании некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE.

Отмечено, что в управляющем совете проекта CVE уже давно обсуждались опасения об устойчивости и нейтральности сервиса, используемого по всему миру, но целиком зависящего от государственного финансирования. Последний год коалиция из активных членов совета CVE вела разработку стратегии перевода CVE в независимый некоммерческий фонд, который сосредоточится исключительно на продолжении миссии по идентификации уязвимостей и сохранению доступности данных CVE.