Program CVE terancam berakhir lebih cepat setelah kegagalan perpanjangan kontrak DHS

 (csoonline.com)
2 poin oleh GN⁺ 2025-04-17 | 1 komentar | Bagikan ke WhatsApp
  • Program CVE milik MITRE adalah elemen inti keamanan siber dan berperan penting dalam mengidentifikasi serta mengelola kerentanan keamanan
  • CISA memperpanjang kontraknya dengan MITRE untuk mencegah gangguan pada program CVE
  • Perpanjangan kontrak ini dijadwalkan berlangsung selama 11 bulan dan mendapat dukungan dari komunitas siber global
  • Berakhirnya kontrak dapat berdampak besar pada ekosistem keamanan siber dan mungkin memerlukan solusi alternatif
  • Sektor swasta seperti VulnCheck sedang berupaya mengisi kekosongan jika program CVE terhenti

Krisis berakhirnya kontrak DHS dan MITRE

  • Program CVE milik MITRE adalah basis data keamanan siber penting yang telah dipertahankan selama 25 tahun
  • Program itu sempat terancam dihentikan karena DHS tidak memperbarui kontraknya
  • CISA mencegah penghentian program melalui perpanjangan kontrak

Pentingnya program CVE

  • Program CVE adalah fondasi ekosistem keamanan siber global dan sangat penting untuk mengidentifikasi serta mengelola kerentanan keamanan
  • NIST dan CISA menyediakan informasi tambahan, tetapi MITRE adalah sumber utama catatan CVE
  • Jika program dihentikan, dampaknya bisa besar terhadap pengelolaan keamanan global

Latar belakang berakhirnya kontrak

  • Alasan keputusan DHS untuk mengakhiri kontrak belum jelas
  • Pemotongan anggaran pemerintah diduga menjadi penyebab utama
  • Biaya operasional program CVE relatif kecil

Prospek ke depan

  • MITRE berencana tidak menambahkan catatan CVE baru mulai 16 April
  • Catatan yang sudah ada akan tetap tersedia di GitHub
  • Sektor swasta berpotensi menyediakan solusi alternatif

Berita terkait

  • Pendapat para pakar bahwa pendanaan MITRE masih belum pasti
  • Malware baru ResolverRAT menargetkan organisasi kesehatan dan farmasi di seluruh dunia
  • Berita patch terbaru terkait kerentanan di Windows dan aplikasi SAP

Bacaan terkait

1 komentar

 
GN⁺ 2025-04-17
Komentar Hacker News
  • Sedang berlangsung diskusi terkait CVE Foundation
  • Kontrak dengan MITRE telah diperpanjang
  • Anggota CVE Board berupaya meluncurkan CVE Foundation baru untuk menjamin stabilitas jangka panjang dan independensi program CVE
  • Tampaknya pemisahan antardepartemen di dalam DHS membuat sisi negatif dari masalah ini tidak sepenuhnya disadari
  • Divisi keuangan tingkat tinggi yang tampaknya tidak menyadari pentingnya program CVE kemungkinan telah membuat keputusan yang keliru
  • Banyak pendiri ycombinator dan pembaca Hacker News memungkinkan masalah ini terjadi, dan kini mempertanyakan konsekuensinya
  • Hal ini membuat orang berpikir bahwa hal-hal penting lain bagi masyarakat mungkin juga diam-diam menghilang dalam beberapa minggu terakhir
  • Ada masalah besar dalam implementasi CVE saat ini. Terutama, script kiddie dan alat AI membanjiri basis data dengan spam, sementara proyek yang benar-benar peduli pada keamanan hampir tidak berpengaruh pada penilaian
  • Orang-orang yang menangani manajemen CVE di perangkat lunak OSS sudah mengetahui bahwa pemotongan pendanaan NVD telah berlangsung lebih dari 1 tahun
  • NIST memelihara National Vulnerability Database (NVD), yang merupakan elemen inti dari infrastruktur keamanan siber nasional
  • Peningkatan jumlah perangkat lunak menyebabkan bertambahnya kerentanan, dan perubahan dukungan antar lembaga membuat penanganan kerentanan menjadi sulit
  • Sebagai solusi jangka panjang, sedang dipertimbangkan pembentukan konsorsium industri, pemerintah, dan organisasi pemangku kepentingan lainnya
  • Yocto Project mengirim surat terbuka kepada CVE Project dan para CNA, serta menyatakan kekhawatiran bahwa peristiwa-peristiwa terbaru berdampak negatif pada identifikasi dan penanganan kerentanan dalam proyek
  • Lima tahun lalu, Director CERT di Carnegie Mellon mengumumkan masalah backlog CVE dan kekurangan sumber daya, dan banyak kerentanan yang dilaporkan tidak mendapatkan nomor CVE
  • Kontrak terbaru untuk partisipasi MITRE dalam program CVE dan CWE ditetapkan sebesar USD$29.1m untuk periode 17 April 2024 hingga 16 April 2025, dengan kemungkinan perpanjangan hingga maksimum USD$57.8m
  • Belum ada keputusan apakah kontrak akan diperpanjang untuk periode 16 April 2025 hingga 16 April 2026, dan juga belum ada pendekatan publik terkait kontrak pengganti