Perpanjangan 11 bulan dari CISA menyelamatkan program CVE dari ancaman penghentian dini
(csoonline.com)- Program CVE milik MITRE nyaris terhenti pada tengah malam 16 April 2025 karena kontrak pendanaan DHS berakhir, tetapi CISA menjalankan periode opsi kontrak untuk mencegah kekosongan layanan
- Menurut sumber, masa perpanjangan ini berlangsung 11 bulan, dan CISA memandang CVE sebagai layanan inti bagi komunitas siber sekaligus prioritas lembaga
- Pendanaan tambahan untuk menjalankan program CVE dan CWE dikonfirmasi pada pagi 16 April, sehingga penghentian layanan yang direncanakan berhasil dihindari
- CVE adalah standar de facto untuk identifikasi dan pengelolaan kerentanan, serta menjadi data dasar yang diandalkan oleh NVD, CISA vulnrichment, produk vendor keamanan, CERT, dan basis data kerentanan perusahaan
- Penyebab berakhirnya kontrak tidak jelas, dan jika penghentian benar-benar terjadi, penambahan rekaman CVE baru akan berhenti sementara rekaman yang ada akan disediakan melalui GitHub
Penghentian berhasil dihindari lewat perpanjangan darurat CISA
- Common Vulnerabilities and Exposures milik MITRE, yaitu program CVE, semula dijadwalkan berakhir kontraknya dengan DHS pada tengah malam 16 April 2025
- Setelah CISA menjalankan periode opsi kontrak, penghentian layanan program CVE MITRE akhirnya tidak terjadi
- CISA menyatakan bahwa CVE sangat penting bagi komunitas siber dan merupakan prioritas lembaga
- Posisi mereka adalah bahwa periode opsi kontrak dijalankan agar tidak ada kekosongan dalam layanan inti CVE
- Menurut sumber, perpanjangan kontrak berlangsung selama 11 bulan
- Yosry Barsoum dari MITRE mengatakan bahwa langkah pemerintah telah mencegah penghentian program CVE dan Common Weakness Enumeration, yaitu program CWE
- Per pagi 16 April 2025, CISA telah mengonfirmasi pendanaan tambahan untuk mempertahankan operasional program
- MITRE tetap pada posisinya untuk menjaga CVE dan CWE sebagai sumber daya global
Berakhirnya kontrak yang semula dijadwalkan dan dampaknya
- Per 15 April 2025, MITRE memberi tahu dewan CVE bahwa jika kontraknya dengan DHS berakhir, pendanaan untuk memelihara basis data CVE akan terputus
- Cakupan kontrak yang berakhir mencakup pekerjaan MITRE dalam mengembangkan, mengoperasikan, dan memodernisasi program CVE serta program terkait, yaitu CWE
- Sasha Romanosky dari Rand Corporation menilai bahwa penamaan CVE dan penetapannya untuk setiap paket serta versi perangkat lunak adalah fondasi ekosistem kerentanan perangkat lunak
- Tanpa CVE, pelacakan kerentanan yang baru ditemukan akan menjadi lebih sulit
- Penilaian skor keparahan, prediksi eksploitasi, dan keputusan penambalan juga bisa terganggu
- Ben Edwards dari Bitsight menilai CVE sebagai sumber daya berharga yang memang harus didanai, dan tidak diperbaruinya kontrak adalah sebuah kesalahan
- Berkat kerangka kerja federatif dan keterbukaan CVE, pemangku kepentingan lain memang bisa mengambil alih operasional
- Namun, jika pengelolanya berubah, proses transisinya bisa berat
Peran CVE dalam ekosistem kerentanan
- CVE program milik MITRE adalah pilar dasar ekosistem keamanan siber global dan standar de facto yang memandu identifikasi kerentanan serta program pengelolaan kerentanan para pihak pembela
- Data CVE menyediakan data dasar bagi produk vendor di bidang manajemen kerentanan, intelijen ancaman siber, informasi keamanan, manajemen peristiwa, serta deteksi dan respons endpoint
- NIST menambahkan informasi pelengkap ke rekaman CVE MITRE melalui National Vulnerability Database, yaitu NVD
- CISA juga telah melengkapi rekaman CVE MITRE melalui program vulnrichment sebagai respons atas kekurangan pendanaan program NVD
- MITRE adalah penulis asli CVE records dan berperan sebagai sumber utama untuk identifikasi cacat keamanan
Efek berantai yang diperkirakan jika penghentian terjadi
- Brian Martin, CSO proyek Security Errata dan mantan anggota dewan CVE, menilai bahwa jika pendanaan MITRE hilang, akan ada efek berantai langsung pada pengelolaan kerentanan global
- Model federatif dan CVE Numbering Authorities, yaitu CNA, tidak lagi dapat menetapkan ID dan mengirimkan informasi ke MITRE untuk dipublikasikan dengan cepat
- NVD bergantung pada CVE, dan saat ini sudah menghadapi backlog lebih dari 30.000 kerentanan serta lebih dari 80.000 item “deferred”
- “deferred” berarti item yang untuk saat ini tidak akan dianalisis secara penuh
- Perusahaan yang mengoperasikan basis data kerentanan sendiri juga harus mencari sumber intelijen pengganti
- Basis data kerentanan nasional, termasuk di China dan Rusia, ratusan hingga ribuan CERT nasional dan regional di seluruh dunia, serta program pengelolaan kerentanan perusahaan yang bergantung pada CVE/NVD dapat ikut terdampak
Penyebab berakhirnya kontrak dan situasi anggaran pemerintah
- Masih tidak jelas mengapa kontrak program CVE yang telah didanai DHS selama 25 tahun hendak diakhiri
- Pemerintahan Trump telah memangkas belanja pemerintah secara luas dengan berfokus pada inisiatif Department of Government Efficiency milik Elon Musk
- DHS telah mendanai program CVE MITRE melalui CISA, dan CISA sendiri sudah mengalami dua kali pemangkasan anggaran
- Menurut laporan, hampir 40% staf CISA, sekitar 1.300 orang, masih menjadi target pemutusan kerja
- Sumber mengatakan bahwa dibandingkan dengan pemotongan anggaran di bagian lain pemerintah federal, biaya operasional program CVE relatif kecil dan tidak sampai “merusak keuangan”
Alternatif swasta dan respons sementara
- Jika perpanjangan kontrak tidak terjadi, mulai tengah malam 16 April 2025 MITRE berencana tidak lagi menambahkan rekaman baru ke basis data CVE
- Rekaman CVE yang sudah ada direncanakan tetap tersedia di GitHub
- Patrick Garrity dari VulnCheck menilai bahwa ekosistem kerentanan telah melemah setelah kegagalan NIST NVD pada tahun sebelumnya, dan dampak terhadap program CVE bisa merugikan para pembela maupun komunitas keamanan
- VulnCheck secara proaktif memesan 1.000 CVE tahun 2025 di tengah ketidakpastian tentang layanan MITRE atau program CVE mana yang akan terdampak
- CISA menyatakan bahwa CVE digunakan oleh pemerintah dan industri untuk mengungkapkan, mengklasifikasikan, dan membagikan kerentanan teknis, serta terkait dengan informasi kerentanan yang dapat membahayakan infrastruktur kritis nasional
1 komentar
Opini Hacker News
Ada thread yang sedang berjalan terkait hal ini: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
Kontrak dengan MITRE sudah diperpanjang: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
Sepertinya mungkin diperpanjang tanpa batas waktu. DOGE mungkin sekumpulan orang bodoh, tetapi di keseluruhan DOD juga ada orang-orang yang tidak bodoh
Entah Anda menyadarinya atau tidak, mereka bergerak dengan pendekatan anggaran berbasis nol. Potong semuanya dulu, lalu kembalikan hanya yang benar-benar penting. Potong dulu, baru bertanya kemudian
Fakta bahwa MITRE adalah kontraktor DoD juga penting. Program CVE yang dijalankan oleh perusahaan yang didanai militer AS dapat menimbulkan kekhawatiran konflik kepentingan dalam ekosistem yang bergantung pada netralitas dan kepercayaan global
Belakangan ini saya mencoba menambahkan [fixed] di akhir judul asli untuk memberi tahu pembaca soal perubahan status. Saya tidak tahu apakah itu yang terbaik, dan juga tidak yakin situasinya benar-benar sudah terselesaikan, tetapi sepertinya lebih baik daripada tidak melakukan apa-apa. Mengubah artikel dan judul thread yang sudah ada bisa terasa seperti tikaman dari belakang yang terlalu besar
Kontraknya memang berakhir hari ini, tetapi ada periode opsi sampai Maret 2026, dan DHS hanya perlu menggunakan opsi itu
Koreksi: tanggal berakhirnya kontrak adalah hari ini, 16 April, jadi jika opsi tidak digunakan, pelaksanaan akan berhenti pada tengah malam hari ini. Kontrak pemerintah sering berjalan sampai detik-detik terakhir seperti ini, dan penggunaan opsi juga sering terlambat. Tapi mengapa hanya kasus ini yang menjadi seheboh ini? Apakah CISA memberi sinyal kepada MITRE bahwa mereka tidak akan menggunakan opsi tersebut?
Saya berharap hal seperti ini tidak terjadi. Saya penasaran apakah semacam struktur silo di dalam DHS membuat mereka tidak melihat bahwa kekurangannya cukup besar
Saya rasa tidak ada pakar di bidang ini yang akan dengan tegas berkata, “boleh dimatikan, tidak perlu.” Kalau ditanya, mereka pasti akan berkata dengan tegas, “tolong jangan sentuh, ini diperlukan”
Namun ada kemungkinan pejabat keuangan senior melakukan “riset sendiri” dan salah memahami bagaimana orang lain menggunakan CVE serta siapa yang mendanainya
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
Dan masih banyak lagi. Selama berbulan-bulan ini benar-benar menjadi bencana, dan pada titik ini mungkin saja mereka berniat mengubah pendekatannya secara drastis
Semua ini adalah tindakan kriminal dari rezim yang berkuasa saat ini
Koalisi anggota Dewan CVE telah meluncurkan CVE Foundation baru “untuk memastikan keberlangsungan jangka panjang, stabilitas, dan independensi Common Vulnerabilities and Exposures (CVE) Program”
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
Vendor produk punya insentif untuk memanipulasi proses penerbitan CVE agar sesuai dengan jadwal perbaikan mereka sendiri, sementara perusahaan keamanan punya insentif untuk mendapatkan akses lebih awal ke basis data CVE demi keunggulan kompetitif
Bukan berarti organisasi yang didanai secara komersial mustahil menghindari penguasaan semacam ini, tetapi itu juga tidak mudah. Hubungan antara Mozilla Foundation dan Google langsung terlintas
Sunting: silakan downvote sepuasnya. Mungkin maksud saya jadi kabur karena ungkapannya terlalu keras. Menarik melihat betapa mudahnya non-ahli keamanan tertipu oleh nama, kutipan, dan otoritas
Kepercayaan tidak muncul dalam semalam, dan sebenarnya tidak pernah sepenuhnya muncul. Jika Anda profesional keamanan informasi, Anda tidak akan mudah tertipu oleh bypass rantai pasok seperti ini yang masa depannya tidak pasti. Saya berharap kita tidak perlu segera menguji pemikiran ini, tetapi tingkat keandalan dan otomasi jangka panjang tertentu memang diperlukan. Yang dibutuhkan adalah sistem teknis yang disepakati luas, bukan “yayasan”
Ironi sebenarnya adalah banyak pendiri Y Combinator dan pembaca HN justru termasuk pihak yang memungkinkan hal seperti ini terjadi, lalu sekarang bertanya-tanya mengapa ular memakan ekornya sendiri
Mereka, atau setidaknya sebagian dari mereka, bisa melihat peluang untuk menguasai fungsi ini dan menghasilkan uang. Ini aliran pendapatan berulang, model langganan yang bernilai, dan pelanggan benar-benar membutuhkan layanan ini. Kalau tidak membutuhkan, tinggal buat undang-undang baru yang mewajibkan langganan atas nama keamanan TI
Dunia tempat NOAA dibubarkan, sehingga Anda harus membayar untuk menerima peringatan badai super yang diperkuat oleh perubahan iklim. Perubahan iklim itu pun diciptakan oleh kerakusan ceroboh dan tanpa regulasi yang sama. Miliarder seharusnya tidak ada, begitu pula jutawan
Bukankah implementasi CVE saat ini juga punya masalah besar? Terutama masalah script kiddie dan alat AI yang memenuhi basis data dengan spam, sementara proyek-proyek yang serius menangani keamanan nyaris tidak punya suara atas “skor” yang diberikan kepada mereka
Skor sebagian besar tidak berguna, jadi kalau hilang pun rasanya saya tidak peduli, dan saya memang tidak benar-benar melihatnya. Namun saya juga tidak begitu paham mengapa orang begitu marah pada skor yang jelek
Kalau skor CVSS yang tinggi menciptakan banyak pekerjaan, berarti proses manajemen kerentanan Anda rusak. Atau Anda sedang mengerjakan compliance, bukan keamanan. Jika Anda tidak suka compliance, skor CVSS bukan akar penderitaannya
“Daftar terpusat yang mengumpulkan berbagai hal yang mungkin Anda pedulikan atau tidak, dengan ID yang stabil” sangatlah bernilai
Tetap saja, masalah skor bukan alasan yang baik untuk membakar seluruh sistem CVE
Melompat dari “ini punya cacat” ke “kalau begitu bunuh saja” adalah kekeliruan logika. Registri keamanan yang cacat jelas lebih baik daripada tidak ada registri keamanan sama sekali
Jika Anda pernah menangani manajemen CVE di perangkat lunak open source, Anda mungkin sudah tahu bahwa pengurangan pendanaan NVD telah berlangsung lebih dari setahun
April 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NIST mengelola National Vulnerability Database (NVD). Ini adalah komponen inti infrastruktur keamanan siber nasional. Seiring bertambahnya perangkat lunak dan meningkatnya jumlah kerentanan, serta berubahnya dukungan antar-lembaga, backlog kerentanan makin membesar. Solusi jangka panjang juga sedang dipertimbangkan, seperti pembentukan konsorsium organisasi dari industri, pemerintah, dan pemangku kepentingan lain yang dapat bekerja sama dalam riset peningkatan NVD
September 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“Keamanan dan penanganan kerentanan dalam perangkat lunak menjadi semakin penting. Peristiwa baru-baru ini telah berdampak buruk pada kemampuan banyak proyek untuk mengidentifikasi masalah dan memastikan masalah itu diselesaikan tepat waktu. Ini sangat mengkhawatirkan. Hingga belum lama ini, kami sering bergantung bukan pada data CVE Project, melainkan pada data NVD yang menambahkan informasi tersebut.”
Lima tahun lalu, pada 2019, saya membantu menyiapkan presentasi CERT Director dari Carnegie Mellon, dan saat itu pun kami membahas backlog CVE dan kekurangan sumber daya. Banyak kerentanan yang dilaporkan bahkan tidak mendapatkan nomor CVE. Sejak itu, antreannya bertambah dan pendanaan berkurang, tetapi jumlah tayangannya rata-rata kurang dari 100 per tahun: https://www.youtube.com/watch?v=WmC65VrnBPI
Pendanaannya tampak baru terputus hari ini, dan kedua kutipan itu tampaknya mengatakan pekerjaan masih terus berlanjut dan hal itu penting
Apakah maksudnya ada semacam ancaman terhadap NVD selama lebih dari setahun? Saya ingin memastikan saya memahaminya dengan benar
Tulisan itu membahas bahwa jumlah kerentanan perangkat lunak meningkat sehingga proyek CVE dan NVD kesulitan mengimbanginya
Saya harap orang berhenti terus menaburkan spin politik di thread ini
Saya jadi bertanya-tanya, dari hal-hal yang kebanyakan orang bahkan tidak tahu keberadaannya tetapi penting bagi masyarakat, apa lagi yang diam-diam hilang dalam beberapa minggu terakhir
Kita mengetahui yang satu ini karena kita tahu ini penting. Apa saja yang tidak kita ketahui?
Meski berusaha menafsirkan ini dengan sebaik mungkin, saya benar-benar tidak bisa memikirkan alasan yang tidak jahat untuk membenarkannya
Para pemimpin saat ini sepertinya tidak memahami hal-hal yang tidak mencolok. Saya penasaran kapan keamanan pangan akan mereka mundurkan. RFK mungkin tahu beberapa vitamin yang bisa mencegah salmonella
Ini adalah salah satu hal yang dilakukan pemerintah demi kepentingan publik
Atau mereka ingin menjual skor prioritas risiko alternatif milik mereka sendiri. Semua perusahaan senang memakai data NVD dan CVE, tetapi tidak mau membayar subsidi yang membantu pesaing. Apalagi di industri yang sangat kompetitif seperti keamanan siber
MITRE Corporation melakukan banyak hal lain dan tampaknya memiliki pendapatan tahunan 2,2 miliar dolar
Perusahaan-perusahaan bernilai triliunan dolar mendapat manfaat dari sistem ini dan juga berkontribusi; apakah mereka tidak bisa menyisihkan sekitar 0,01% dari pendapatan mereka untuk bagian kecil dari infrastruktur penting ini?
steelmanning adalah neologisme yang tidak berguna selain sebagai sinyal dalam kelompok. Untuk konsep yang sama, sudah ada istilah yang cukup baik, lebih bernuansa, dan lebih kaya sejarah: “charitability”
Perbedaan besarnya adalah charitability berkaitan dengan menghormati lawan bicara. Steelmanning lebih seperti menggunakan kecerdasan diri sendiri untuk membuat argumen lawan menjadi lebih baik daripada yang bisa mereka lakukan sendiri
Karena charitability didasarkan pada gagasan saling menghormati, kita bisa bertanya mengapa harus beritikad baik jika jelas seseorang sama sekali tidak menghormati kita. Steelmanning mencoba memisahkan orang dan argumen, dan ironisnya terasa arogan sekaligus naif
Akar penyebab: kegagalan lapisan 8
https://www.computerhope.com/jargon/l/layer8.htm