2 poin oleh GN⁺ 2025-04-17 | 1 komentar | Bagikan ke WhatsApp
  • Program CVE milik MITRE nyaris terhenti pada tengah malam 16 April 2025 karena kontrak pendanaan DHS berakhir, tetapi CISA menjalankan periode opsi kontrak untuk mencegah kekosongan layanan
  • Menurut sumber, masa perpanjangan ini berlangsung 11 bulan, dan CISA memandang CVE sebagai layanan inti bagi komunitas siber sekaligus prioritas lembaga
  • Pendanaan tambahan untuk menjalankan program CVE dan CWE dikonfirmasi pada pagi 16 April, sehingga penghentian layanan yang direncanakan berhasil dihindari
  • CVE adalah standar de facto untuk identifikasi dan pengelolaan kerentanan, serta menjadi data dasar yang diandalkan oleh NVD, CISA vulnrichment, produk vendor keamanan, CERT, dan basis data kerentanan perusahaan
  • Penyebab berakhirnya kontrak tidak jelas, dan jika penghentian benar-benar terjadi, penambahan rekaman CVE baru akan berhenti sementara rekaman yang ada akan disediakan melalui GitHub

Penghentian berhasil dihindari lewat perpanjangan darurat CISA

  • Common Vulnerabilities and Exposures milik MITRE, yaitu program CVE, semula dijadwalkan berakhir kontraknya dengan DHS pada tengah malam 16 April 2025
  • Setelah CISA menjalankan periode opsi kontrak, penghentian layanan program CVE MITRE akhirnya tidak terjadi
    • CISA menyatakan bahwa CVE sangat penting bagi komunitas siber dan merupakan prioritas lembaga
    • Posisi mereka adalah bahwa periode opsi kontrak dijalankan agar tidak ada kekosongan dalam layanan inti CVE
    • Menurut sumber, perpanjangan kontrak berlangsung selama 11 bulan
  • Yosry Barsoum dari MITRE mengatakan bahwa langkah pemerintah telah mencegah penghentian program CVE dan Common Weakness Enumeration, yaitu program CWE
    • Per pagi 16 April 2025, CISA telah mengonfirmasi pendanaan tambahan untuk mempertahankan operasional program
    • MITRE tetap pada posisinya untuk menjaga CVE dan CWE sebagai sumber daya global

Berakhirnya kontrak yang semula dijadwalkan dan dampaknya

  • Per 15 April 2025, MITRE memberi tahu dewan CVE bahwa jika kontraknya dengan DHS berakhir, pendanaan untuk memelihara basis data CVE akan terputus
  • Cakupan kontrak yang berakhir mencakup pekerjaan MITRE dalam mengembangkan, mengoperasikan, dan memodernisasi program CVE serta program terkait, yaitu CWE
  • Sasha Romanosky dari Rand Corporation menilai bahwa penamaan CVE dan penetapannya untuk setiap paket serta versi perangkat lunak adalah fondasi ekosistem kerentanan perangkat lunak
    • Tanpa CVE, pelacakan kerentanan yang baru ditemukan akan menjadi lebih sulit
    • Penilaian skor keparahan, prediksi eksploitasi, dan keputusan penambalan juga bisa terganggu
  • Ben Edwards dari Bitsight menilai CVE sebagai sumber daya berharga yang memang harus didanai, dan tidak diperbaruinya kontrak adalah sebuah kesalahan
    • Berkat kerangka kerja federatif dan keterbukaan CVE, pemangku kepentingan lain memang bisa mengambil alih operasional
    • Namun, jika pengelolanya berubah, proses transisinya bisa berat

Peran CVE dalam ekosistem kerentanan

  • CVE program milik MITRE adalah pilar dasar ekosistem keamanan siber global dan standar de facto yang memandu identifikasi kerentanan serta program pengelolaan kerentanan para pihak pembela
  • Data CVE menyediakan data dasar bagi produk vendor di bidang manajemen kerentanan, intelijen ancaman siber, informasi keamanan, manajemen peristiwa, serta deteksi dan respons endpoint
  • NIST menambahkan informasi pelengkap ke rekaman CVE MITRE melalui National Vulnerability Database, yaitu NVD
  • CISA juga telah melengkapi rekaman CVE MITRE melalui program vulnrichment sebagai respons atas kekurangan pendanaan program NVD
  • MITRE adalah penulis asli CVE records dan berperan sebagai sumber utama untuk identifikasi cacat keamanan

Efek berantai yang diperkirakan jika penghentian terjadi

  • Brian Martin, CSO proyek Security Errata dan mantan anggota dewan CVE, menilai bahwa jika pendanaan MITRE hilang, akan ada efek berantai langsung pada pengelolaan kerentanan global
  • Model federatif dan CVE Numbering Authorities, yaitu CNA, tidak lagi dapat menetapkan ID dan mengirimkan informasi ke MITRE untuk dipublikasikan dengan cepat
  • NVD bergantung pada CVE, dan saat ini sudah menghadapi backlog lebih dari 30.000 kerentanan serta lebih dari 80.000 item “deferred”
    • “deferred” berarti item yang untuk saat ini tidak akan dianalisis secara penuh
  • Perusahaan yang mengoperasikan basis data kerentanan sendiri juga harus mencari sumber intelijen pengganti
  • Basis data kerentanan nasional, termasuk di China dan Rusia, ratusan hingga ribuan CERT nasional dan regional di seluruh dunia, serta program pengelolaan kerentanan perusahaan yang bergantung pada CVE/NVD dapat ikut terdampak

Penyebab berakhirnya kontrak dan situasi anggaran pemerintah

  • Masih tidak jelas mengapa kontrak program CVE yang telah didanai DHS selama 25 tahun hendak diakhiri
  • Pemerintahan Trump telah memangkas belanja pemerintah secara luas dengan berfokus pada inisiatif Department of Government Efficiency milik Elon Musk
  • DHS telah mendanai program CVE MITRE melalui CISA, dan CISA sendiri sudah mengalami dua kali pemangkasan anggaran
  • Menurut laporan, hampir 40% staf CISA, sekitar 1.300 orang, masih menjadi target pemutusan kerja
  • Sumber mengatakan bahwa dibandingkan dengan pemotongan anggaran di bagian lain pemerintah federal, biaya operasional program CVE relatif kecil dan tidak sampai “merusak keuangan”

Alternatif swasta dan respons sementara

  • Jika perpanjangan kontrak tidak terjadi, mulai tengah malam 16 April 2025 MITRE berencana tidak lagi menambahkan rekaman baru ke basis data CVE
  • Rekaman CVE yang sudah ada direncanakan tetap tersedia di GitHub
  • Patrick Garrity dari VulnCheck menilai bahwa ekosistem kerentanan telah melemah setelah kegagalan NIST NVD pada tahun sebelumnya, dan dampak terhadap program CVE bisa merugikan para pembela maupun komunitas keamanan
  • VulnCheck secara proaktif memesan 1.000 CVE tahun 2025 di tengah ketidakpastian tentang layanan MITRE atau program CVE mana yang akan terdampak
  • CISA menyatakan bahwa CVE digunakan oleh pemerintah dan industri untuk mengungkapkan, mengklasifikasikan, dan membagikan kerentanan teknis, serta terkait dengan informasi kerentanan yang dapat membahayakan infrastruktur kritis nasional

1 komentar

 
GN⁺ 2025-04-17
Opini Hacker News
  • Ada thread yang sedang berjalan terkait hal ini: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Kontrak dengan MITRE sudah diperpanjang: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    Sepertinya mungkin diperpanjang tanpa batas waktu. DOGE mungkin sekumpulan orang bodoh, tetapi di keseluruhan DOD juga ada orang-orang yang tidak bodoh

    • Dugaan saya, mereka akan mundur secara bertahap tahun depan. Tujuan jangka panjangnya tampaknya mengubah program CVE menjadi sesuatu yang lebih mendekati konsorsium yang dipimpin industri
      Entah Anda menyadarinya atau tidak, mereka bergerak dengan pendekatan anggaran berbasis nol. Potong semuanya dulu, lalu kembalikan hanya yang benar-benar penting. Potong dulu, baru bertanya kemudian
      Fakta bahwa MITRE adalah kontraktor DoD juga penting. Program CVE yang dijalankan oleh perusahaan yang didanai militer AS dapat menimbulkan kekhawatiran konflik kepentingan dalam ekosistem yang bergantung pada netralitas dan kepercayaan global
    • Selalu sulit menentukan bagaimana menangani thread berbasis artikel yang sudah digantikan oleh perkembangan lanjutan. Rasanya perlu membuka thread baru dengan artikel baru, tetapi baru saja ada diskusi besar, dan kabar “sudah diperbaiki” biasanya kurang menarik dibanding pemicu awalnya sehingga biasanya tidak naik
      Belakangan ini saya mencoba menambahkan [fixed] di akhir judul asli untuk memberi tahu pembaca soal perubahan status. Saya tidak tahu apakah itu yang terbaik, dan juga tidak yakin situasinya benar-benar sudah terselesaikan, tetapi sepertinya lebih baik daripada tidak melakukan apa-apa. Mengubah artikel dan judul thread yang sudah ada bisa terasa seperti tikaman dari belakang yang terlalu besar
    • Sepertinya belum muncul di FPDS: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      Kontraknya memang berakhir hari ini, tetapi ada periode opsi sampai Maret 2026, dan DHS hanya perlu menggunakan opsi itu
      Koreksi: tanggal berakhirnya kontrak adalah hari ini, 16 April, jadi jika opsi tidak digunakan, pelaksanaan akan berhenti pada tengah malam hari ini. Kontrak pemerintah sering berjalan sampai detik-detik terakhir seperti ini, dan penggunaan opsi juga sering terlambat. Tapi mengapa hanya kasus ini yang menjadi seheboh ini? Apakah CISA memberi sinyal kepada MITRE bahwa mereka tidak akan menggunakan opsi tersebut?
    • Artikel itu mengatakan “tidak jelas mengapa DHS memutuskan mengakhiri kontrak setelah 25 tahun”, tetapi tiba-tiba diperpanjang. Saya tidak tahu apa hubungannya ini dengan DOGE
  • Saya berharap hal seperti ini tidak terjadi. Saya penasaran apakah semacam struktur silo di dalam DHS membuat mereka tidak melihat bahwa kekurangannya cukup besar
    Saya rasa tidak ada pakar di bidang ini yang akan dengan tegas berkata, “boleh dimatikan, tidak perlu.” Kalau ditanya, mereka pasti akan berkata dengan tegas, “tolong jangan sentuh, ini diperlukan”
    Namun ada kemungkinan pejabat keuangan senior melakukan “riset sendiri” dan salah memahami bagaimana orang lain menggunakan CVE serta siapa yang mendanainya

  • Koalisi anggota Dewan CVE telah meluncurkan CVE Foundation baru “untuk memastikan keberlangsungan jangka panjang, stabilitas, dan independensi Common Vulnerabilities and Exposures (CVE) Program”
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • Konsorsium seperti ini harus secara eksplisit menghindari agar tidak dikuasai baik oleh vendor produk maupun perusahaan keamanan
      Vendor produk punya insentif untuk memanipulasi proses penerbitan CVE agar sesuai dengan jadwal perbaikan mereka sendiri, sementara perusahaan keamanan punya insentif untuk mendapatkan akses lebih awal ke basis data CVE demi keunggulan kompetitif
      Bukan berarti organisasi yang didanai secara komersial mustahil menghindari penguasaan semacam ini, tetapi itu juga tidak mudah. Hubungan antara Mozilla Foundation dan Google langsung terlintas
    • Kalau pemerintah menghentikan pendanaannya, apakah mereka akan terus melakukan ini secara gratis?
    • Ini lebih tercium seperti upaya terburu-buru untuk memungkinkan phishing kerentanan daripada kemajuan nyata. Tulisan itu diunggah oleh seseorang yang menjalankan startup keamanan, dan situsnya juga merupakan Google Sites yang bisa dilaporkan orang ke Google sebagai penipuan
      Sunting: silakan downvote sepuasnya. Mungkin maksud saya jadi kabur karena ungkapannya terlalu keras. Menarik melihat betapa mudahnya non-ahli keamanan tertipu oleh nama, kutipan, dan otoritas
      Kepercayaan tidak muncul dalam semalam, dan sebenarnya tidak pernah sepenuhnya muncul. Jika Anda profesional keamanan informasi, Anda tidak akan mudah tertipu oleh bypass rantai pasok seperti ini yang masa depannya tidak pasti. Saya berharap kita tidak perlu segera menguji pemikiran ini, tetapi tingkat keandalan dan otomasi jangka panjang tertentu memang diperlukan. Yang dibutuhkan adalah sistem teknis yang disepakati luas, bukan “yayasan”
  • Ironi sebenarnya adalah banyak pendiri Y Combinator dan pembaca HN justru termasuk pihak yang memungkinkan hal seperti ini terjadi, lalu sekarang bertanya-tanya mengapa ular memakan ekornya sendiri

    • Mungkin memang ini yang mereka inginkan. Karena ini bisa menjadi bagian dari privatisasi banyak fungsi pemerintah
      Mereka, atau setidaknya sebagian dari mereka, bisa melihat peluang untuk menguasai fungsi ini dan menghasilkan uang. Ini aliran pendapatan berulang, model langganan yang bernilai, dan pelanggan benar-benar membutuhkan layanan ini. Kalau tidak membutuhkan, tinggal buat undang-undang baru yang mewajibkan langganan atas nama keamanan TI
    • Kekurangan dananya kira-kira sekitar 2 juta dolar. Perusahaan Amerika mana pun bisa menghapus masalah ini dalam sekejap
    • Tepat. Semoga Y Combinator dan para pendukungnya bisa hidup bahagia di negeri fantasi ancap
      Dunia tempat NOAA dibubarkan, sehingga Anda harus membayar untuk menerima peringatan badai super yang diperkuat oleh perubahan iklim. Perubahan iklim itu pun diciptakan oleh kerakusan ceroboh dan tanpa regulasi yang sama. Miliarder seharusnya tidak ada, begitu pula jutawan
  • Bukankah implementasi CVE saat ini juga punya masalah besar? Terutama masalah script kiddie dan alat AI yang memenuhi basis data dengan spam, sementara proyek-proyek yang serius menangani keamanan nyaris tidak punya suara atas “skor” yang diberikan kepada mereka

    • Sebagai pihak yang aktif mengonsumsi CVE, ya, ada masalah besar. Meski begitu, tidak ada yang lebih baik, dan tidak ada ide yang lebih baik
      Skor sebagian besar tidak berguna, jadi kalau hilang pun rasanya saya tidak peduli, dan saya memang tidak benar-benar melihatnya. Namun saya juga tidak begitu paham mengapa orang begitu marah pada skor yang jelek
      Kalau skor CVSS yang tinggi menciptakan banyak pekerjaan, berarti proses manajemen kerentanan Anda rusak. Atau Anda sedang mengerjakan compliance, bukan keamanan. Jika Anda tidak suka compliance, skor CVSS bukan akar penderitaannya
      Daftar terpusat yang mengumpulkan berbagai hal yang mungkin Anda pedulikan atau tidak, dengan ID yang stabil” sangatlah bernilai
    • Muncul kerentanan kritis acak dengan skor 9,8, meskipun di lingkungan saya dampaknya nol. Karena CVE itu, Security Score organisasi turun 10 poin secara arbitrer, lalu manajemen bertanya kapan perusahaan akan kembali aman karena Security Score adalah satu-satunya keluaran nyata untuk mengukur keberhasilan
    • Sejak awal skor memang tidak mungkin seakurat itu di seluruh lingkungan masing-masing. Saya tidak tahu seberapa besar pihak lain bergantung padanya, tetapi tempat-tempat saya bekerja tidak terlalu bergantung pada skor
      Tetap saja, masalah skor bukan alasan yang baik untuk membakar seluruh sistem CVE
    • Saya belum pernah melihat orang yang menjalankan pemindai CVE pada kodenya sendiri lalu tidak cepat kelelahan
    • Tentu saja implementasi CVE saat ini punya masalah. Jika judulnya “DHS mengusulkan perbaikan dan penyederhanaan program CVE”, mungkin semua orang akan bersorak
      Melompat dari “ini punya cacat” ke “kalau begitu bunuh saja” adalah kekeliruan logika. Registri keamanan yang cacat jelas lebih baik daripada tidak ada registri keamanan sama sekali
  • Jika Anda pernah menangani manajemen CVE di perangkat lunak open source, Anda mungkin sudah tahu bahwa pengurangan pendanaan NVD telah berlangsung lebih dari setahun
    April 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST mengelola National Vulnerability Database (NVD). Ini adalah komponen inti infrastruktur keamanan siber nasional. Seiring bertambahnya perangkat lunak dan meningkatnya jumlah kerentanan, serta berubahnya dukungan antar-lembaga, backlog kerentanan makin membesar. Solusi jangka panjang juga sedang dipertimbangkan, seperti pembentukan konsorsium organisasi dari industri, pemerintah, dan pemangku kepentingan lain yang dapat bekerja sama dalam riset peningkatan NVD
    September 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “Keamanan dan penanganan kerentanan dalam perangkat lunak menjadi semakin penting. Peristiwa baru-baru ini telah berdampak buruk pada kemampuan banyak proyek untuk mengidentifikasi masalah dan memastikan masalah itu diselesaikan tepat waktu. Ini sangat mengkhawatirkan. Hingga belum lama ini, kami sering bergantung bukan pada data CVE Project, melainkan pada data NVD yang menambahkan informasi tersebut.”
    Lima tahun lalu, pada 2019, saya membantu menyiapkan presentasi CERT Director dari Carnegie Mellon, dan saat itu pun kami membahas backlog CVE dan kekurangan sumber daya. Banyak kerentanan yang dilaporkan bahkan tidak mendapatkan nomor CVE. Sejak itu, antreannya bertambah dan pendanaan berkurang, tetapi jumlah tayangannya rata-rata kurang dari 100 per tahun: https://www.youtube.com/watch?v=WmC65VrnBPI

    • Tulisan ini tidak membantu dan membingungkan. Jika penghentian pendanaan mendadak yang terjadi hari ini terpisah dari pemotongan pendanaan sebelumnya, sebaiknya disunting dengan jelas seperti itu, atau ke depannya ditulis seperti itu
    • Saya penasaran, apa tepatnya yang dimaksud sudah berlangsung lebih dari setahun
      Pendanaannya tampak baru terputus hari ini, dan kedua kutipan itu tampaknya mengatakan pekerjaan masih terus berlanjut dan hal itu penting
      Apakah maksudnya ada semacam ancaman terhadap NVD selama lebih dari setahun? Saya ingin memastikan saya memahaminya dengan benar
    • Tulisan itu tidak menyebut pemotongan pendanaan
      Tulisan itu membahas bahwa jumlah kerentanan perangkat lunak meningkat sehingga proyek CVE dan NVD kesulitan mengimbanginya
      Saya harap orang berhenti terus menaburkan spin politik di thread ini
    • Saya melihat tulisan seperti ini di setiap posting HN yang bisa ditafsirkan negatif terhadap pemerintahan saat ini. Pernyataan palsu yang samar diikuti penjelasan yang tidak sesuai fakta, atau kutipan yang tidak mendukung pernyataan tersebut
  • Saya jadi bertanya-tanya, dari hal-hal yang kebanyakan orang bahkan tidak tahu keberadaannya tetapi penting bagi masyarakat, apa lagi yang diam-diam hilang dalam beberapa minggu terakhir
    Kita mengetahui yang satu ini karena kita tahu ini penting. Apa saja yang tidak kita ketahui?

    • Orang-orang yang mendukungnya tidak peduli. Rasa stabilitas relatif dan kualitas hidup orang Amerika ditopang oleh institusi yang nyaris tidak mereka pahami atau bahkan belum pernah mereka dengar. Mungkin memang perlu dibiarkan menyentuh kompor panas sendiri
    • Ada beberapa yang tercantum di https://www.project2025.observer/. Tentu saja itu hanya lembaga-lembaga yang diketahui dan secara eksplisit ingin dihancurkan oleh orang-orang di kubu Trump, tetapi itu bisa menjadi titik awal
  • Meski berusaha menafsirkan ini dengan sebaik mungkin, saya benar-benar tidak bisa memikirkan alasan yang tidak jahat untuk membenarkannya

    • Menurut saya ini karena ketidaktahuan dan kesombongan. AS tampaknya sedang menuju kehilangan kepemimpinan teknologi dan sains
      Para pemimpin saat ini sepertinya tidak memahami hal-hal yang tidak mencolok. Saya penasaran kapan keamanan pangan akan mereka mundurkan. RFK mungkin tahu beberapa vitamin yang bisa mencegah salmonella
    • Sangat bodoh. Apa pun pembenarannya, itu tidak sepenting konsekuensi buruknya
      Ini adalah salah satu hal yang dilakukan pemerintah demi kepentingan publik
    • Ini tragedi milik bersama. NVD dan CVE Project sudah bertahun-tahun mengalami backlog dan masalah pendanaan, dan sebagian besar vendor keamanan enggan menyediakan informasi kerentanan tepat waktu. Karena itu bisa mengurangi keunggulan komparatif mereka
      Atau mereka ingin menjual skor prioritas risiko alternatif milik mereka sendiri. Semua perusahaan senang memakai data NVD dan CVE, tetapi tidak mau membayar subsidi yang membantu pesaing. Apalagi di industri yang sangat kompetitif seperti keamanan siber
    • Alasannya mungkin untuk mengurangi belanja pemerintah. Menurut saya ini tampaknya bukan organisasi pemerintah sungguhan, jadi organisasi lain juga bisa mendanainya. Saya juga penasaran berapa biaya tahunan untuk organisasi ini
      MITRE Corporation melakukan banyak hal lain dan tampaknya memiliki pendapatan tahunan 2,2 miliar dolar
      Perusahaan-perusahaan bernilai triliunan dolar mendapat manfaat dari sistem ini dan juga berkontribusi; apakah mereka tidak bisa menyisihkan sekitar 0,01% dari pendapatan mereka untuk bagian kecil dari infrastruktur penting ini?
    • Ini memang topik yang secara pribadi mengganggu saya, dan karena itu menurut saya steelmanning justru kontraproduktif
      steelmanning adalah neologisme yang tidak berguna selain sebagai sinyal dalam kelompok. Untuk konsep yang sama, sudah ada istilah yang cukup baik, lebih bernuansa, dan lebih kaya sejarah: “charitability”
      Perbedaan besarnya adalah charitability berkaitan dengan menghormati lawan bicara. Steelmanning lebih seperti menggunakan kecerdasan diri sendiri untuk membuat argumen lawan menjadi lebih baik daripada yang bisa mereka lakukan sendiri
      Karena charitability didasarkan pada gagasan saling menghormati, kita bisa bertanya mengapa harus beritikad baik jika jelas seseorang sama sekali tidak menghormati kita. Steelmanning mencoba memisahkan orang dan argumen, dan ironisnya terasa arogan sekaligus naif
  • Akar penyebab: kegagalan lapisan 8
    https://www.computerhope.com/jargon/l/layer8.htm