1 poin oleh GN⁺ 2025-04-17 | 1 komentar | Bagikan ke WhatsApp
  • CVE Foundation berupaya membangun komunitas global yang tepercaya dan stabil untuk mendukung operasional jangka panjang CVE Program
  • Tantangan terbesarnya adalah memindahkan CVE Program ke model pendanaan yang terdiversifikasi dan stabil, tanpa bergantung pada satu aliran pendanaan
  • Untuk meningkatkan kepercayaan dalam proses identifikasi kerentanan, yayasan menjadikan partisipasi, kolaborasi komunitas internasional, dan transparansi sebagai sarana utama
  • Yayasan mendukung agar identifikasi kerentanan menjadi proses yang lebih mudah dan lebih tepercaya bagi semua pihak
  • Keberlanjutan CVE Program bergantung sekaligus pada stabilisasi struktur pendanaan dan penguatan fondasi kolaborasi global

Menstabilkan fondasi operasional CVE Program

Memperkuat keandalan identifikasi kerentanan

1 komentar

 
GN⁺ 2025-04-17
Pendapat di Hacker News
  • Dari isi perubahannya, tampaknya kontrak diperpanjang pada detik-detik terakhir
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • Apakah ada sumber selain Forbes yang mengonfirmasi hal ini?
  • Menanggapi komentar-komentar yang meragukan keabsahannya: ada tulisan LinkedIn dari salah satu anggota Dewan CVE. Ia memang orang pertama dalam daftar ini[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    Sepertinya bisa ditemukan lebih banyak informasi terkait jika mencari kontak atau kanal publik anggota Dewan CVE lainnya
    [0]: https://www.cve.org/programorganization/board

  • Thread terkait yang sedang berlangsung:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • Menurut saya sekarang saatnya perusahaan-perusahaan terbesar di industri software turun tangan dalam bentuk semacam konsorsium resmi. Mereka mendapat manfaat terbesar, jadi model seperti itu masuk akal
    Perusahaan teknologi besar bergantung pada CVE untuk keamanan produk mereka sendiri, dan karena punya pendapatan sangat besar serta tim keamanan khusus, mereka bisa dengan mudah membiayai operasional CVE. Dengan model konsorsium, tanggung jawab juga bisa dibagi secara adil. Tanggung jawab dibagi, manfaat juga dibagi, dan keamanan adalah masalah semua orang

    • Haha, CVE justru dibuat karena industri menolak melacak dan melaporkan kerentanan secara konsisten dan transparan sejak awal. Jika diberi pilihan, perusahaan hampir selalu memilih jalan mudah, dan jika akuntabilitas eksternal hilang, program manajemen kerentanan bisa mundur bukan beberapa tahun, melainkan puluhan tahun
      Secara umum, para pengacara dan CTO kemungkinan besar akan senang jika CVE hilang atau diserahkan ke industri. Sumber: sudah bekerja di bidang keamanan selama lebih dari 20 tahun
    • Mumpung perusahaan-perusahaan terbesar di industri software mau turun tangan, akan bagus kalau perusahaan bernilai 1 triliun dolar kalian juga melemparkan sekadar 5 dolar kepada developer yang mengelola paket open source yang mereka andalkan
      Maksudnya paket yang 50 ribu leetcoder itu tidak bisa buat sendiri dan tidak bisa hidup tanpanya
    • Dalam urusan keamanan, pihak yang sama sekali tidak akan saya percayai adalah BigTech Amerika Serikat. Konsorsium atau bukan, ide ini tidak punya peluang
      Yang dibutuhkan adalah jaringan informasi ancaman siber internasional dengan berbagai mekanisme checks and balances serta pengawasan. Kalau bertanya “siapa yang akan membayar?”, kita juga harus bertanya “siapa sebenarnya yang mendapat keuntungan dari industri teknologi?”
  • Karena ini masalah keamanan, kita harus mengasumsikan skenario terburuk. Sampai MITRE mengonfirmasi serah terima, ini tidak bisa dianggap sah, dan sekalipun dikonfirmasi, masih ada cukup ruang untuk mempertanyakannya

  • Lucu bagaimana orang terus mengatakan pemerintah juga harus seperti Facebook, ‘bergerak cepat dan merusak banyak hal’, tetapi lupa bahwa Facebook akan menghabiskan 60–65 miliar dolar tahun ini untuk proses itu
    Namun ketika pemerintah bergerak cepat dan merusak banyak hal, entah bagaimana itu juga mencakup ‘biaya minimum’. Jadi teringat ungkapan “pilih dua dari cepat, murah, dan bagus”

  • Sejak pindah dari administrasi sistem ke pengembangan software beberapa puluh tahun lalu, saya tidak lagi aktif melacak kerentanan keamanan. Belakangan saya terutama membaca berita tentang kerentanan terkenal, dan jauh lebih sering melihat CVE daripada cert
    Dulu saya melihat cert: https://www.kb.cert.org/vuls/ Dari pencarian cepat barusan, ternyata masih ada. Apa perbedaan atau hubungan keduanya?

    • Perbedaan terbesarnya adalah CVE kemarin dihentikan tanpa pemberitahuan oleh pemerintah AS, dan programnya berakhir hari ini
  • Saya penasaran berapa anggaran MITRE. Anggaran program CVE milik CISA tidak dipublikasikan secara terpisah, tetapi dari yang saya lihat katanya sekitar puluhan juta dolar per tahun
    Program CVE memang penting, tetapi rasanya berlebihan

    • 40 juta dolar per tahun
  • Kalau memang diperlukan basis data terdesentralisasi untuk data seperti ini, mungkin blockchain sebenarnya bisa menjadi penggunaan yang bagus
    Dibutuhkan konsensus, harus immutable, dan harus terdistribusi. Pengguna yang membutuhkan basis data CVE bisa mengambil salinan ledger dari BitTorrent atau dari mana pun, lalu mem-parse seluruh data atau pembaruannya. Pembaruan CVE juga tidak terlalu banyak, dan semuanya memang harus dilacak secara permanen. Pembaruan bisa ditangani dengan menambahkan satu entri lagi ke chain, dan pelaku jahat juga akan sulit mengubahnya sembarangan

    • Tidak perlu konsensus, dan tidak perlu immutable. Ini hanya data rekomendasi. Kalaupun ada pemilik yang menyensor atau memanipulasi data CVE di repositorinya sendiri, tidak ada keuntungan selain membuat pengguna kesal
      Basis data pusat dan mirror saja sudah cukup, dan sejauh ini cara itu baik-baik saja. Yang diperlukan adalah membuat data bisa digunakan dan dibagikan secara bebas, serta kalau bisa lembaga lain juga mengklasifikasikan kerentanan software untuk memberikan sejumlah redundansi dan replikasi
  • Saya berharap ini benar, tetapi informasi nyatanya sangat sedikit. Mereka mengatakan sedang merespons pengumuman, sekaligus mengatakan sudah mempersiapkannya selama 1 tahun
    Jika bagian terakhir itu benar-benar disiapkan dengan matang, kemungkinan mereka akan mengumumkan sesuatu lebih awal, jadi saya ragu. Di sini tampaknya ada kemungkinan berbagai upaya akan terpecah. Akan bagus jika semua orang berkumpul di sekitar satu solusi, tetapi saya tidak tahu apakah ini solusi tersebut. Organisasi nirlaba berbasis di AS mungkin bukan solusi terbaik