CVE Foundation
(thecvefoundation.org)- CVE Foundation berupaya membangun komunitas global yang tepercaya dan stabil untuk mendukung operasional jangka panjang CVE Program
- Tantangan terbesarnya adalah memindahkan CVE Program ke model pendanaan yang terdiversifikasi dan stabil, tanpa bergantung pada satu aliran pendanaan
- Untuk meningkatkan kepercayaan dalam proses identifikasi kerentanan, yayasan menjadikan partisipasi, kolaborasi komunitas internasional, dan transparansi sebagai sarana utama
- Yayasan mendukung agar identifikasi kerentanan menjadi proses yang lebih mudah dan lebih tepercaya bagi semua pihak
- Keberlanjutan CVE Program bergantung sekaligus pada stabilisasi struktur pendanaan dan penguatan fondasi kolaborasi global
Menstabilkan fondasi operasional CVE Program
- CVE Foundation bertujuan memastikan masa depan yang stabil bagi CVE Program
- Fokus saat ini adalah membantu transisi CVE Program dari satu aliran pendanaan ke model pendanaan yang terdiversifikasi dan stabil
Memperkuat keandalan identifikasi kerentanan
- Yayasan memanfaatkan partisipasi, kolaborasi komunitas internasional, dan transparansi untuk membuat identifikasi kerentanan lebih dapat dipercaya
- Tujuannya adalah membantu identifikasi kerentanan menjadi proses yang lebih mudah dan lebih tepercaya bagi semua pihak
1 komentar
Pendapat di Hacker News
Dari isi perubahannya, tampaknya kontrak diperpanjang pada detik-detik terakhir
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Menanggapi komentar-komentar yang meragukan keabsahannya: ada tulisan LinkedIn dari salah satu anggota Dewan CVE. Ia memang orang pertama dalam daftar ini[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Sepertinya bisa ditemukan lebih banyak informasi terkait jika mencari kontak atau kanal publik anggota Dewan CVE lainnya
[0]: https://www.cve.org/programorganization/board
Thread terkait yang sedang berlangsung:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Menurut saya sekarang saatnya perusahaan-perusahaan terbesar di industri software turun tangan dalam bentuk semacam konsorsium resmi. Mereka mendapat manfaat terbesar, jadi model seperti itu masuk akal
Perusahaan teknologi besar bergantung pada CVE untuk keamanan produk mereka sendiri, dan karena punya pendapatan sangat besar serta tim keamanan khusus, mereka bisa dengan mudah membiayai operasional CVE. Dengan model konsorsium, tanggung jawab juga bisa dibagi secara adil. Tanggung jawab dibagi, manfaat juga dibagi, dan keamanan adalah masalah semua orang
Secara umum, para pengacara dan CTO kemungkinan besar akan senang jika CVE hilang atau diserahkan ke industri. Sumber: sudah bekerja di bidang keamanan selama lebih dari 20 tahun
Maksudnya paket yang 50 ribu leetcoder itu tidak bisa buat sendiri dan tidak bisa hidup tanpanya
Yang dibutuhkan adalah jaringan informasi ancaman siber internasional dengan berbagai mekanisme checks and balances serta pengawasan. Kalau bertanya “siapa yang akan membayar?”, kita juga harus bertanya “siapa sebenarnya yang mendapat keuntungan dari industri teknologi?”
Karena ini masalah keamanan, kita harus mengasumsikan skenario terburuk. Sampai MITRE mengonfirmasi serah terima, ini tidak bisa dianggap sah, dan sekalipun dikonfirmasi, masih ada cukup ruang untuk mempertanyakannya
Lucu bagaimana orang terus mengatakan pemerintah juga harus seperti Facebook, ‘bergerak cepat dan merusak banyak hal’, tetapi lupa bahwa Facebook akan menghabiskan 60–65 miliar dolar tahun ini untuk proses itu
Namun ketika pemerintah bergerak cepat dan merusak banyak hal, entah bagaimana itu juga mencakup ‘biaya minimum’. Jadi teringat ungkapan “pilih dua dari cepat, murah, dan bagus”
Sejak pindah dari administrasi sistem ke pengembangan software beberapa puluh tahun lalu, saya tidak lagi aktif melacak kerentanan keamanan. Belakangan saya terutama membaca berita tentang kerentanan terkenal, dan jauh lebih sering melihat CVE daripada cert
Dulu saya melihat cert: https://www.kb.cert.org/vuls/ Dari pencarian cepat barusan, ternyata masih ada. Apa perbedaan atau hubungan keduanya?
Saya penasaran berapa anggaran MITRE. Anggaran program CVE milik CISA tidak dipublikasikan secara terpisah, tetapi dari yang saya lihat katanya sekitar puluhan juta dolar per tahun
Program CVE memang penting, tetapi rasanya berlebihan
Kalau memang diperlukan basis data terdesentralisasi untuk data seperti ini, mungkin blockchain sebenarnya bisa menjadi penggunaan yang bagus
Dibutuhkan konsensus, harus immutable, dan harus terdistribusi. Pengguna yang membutuhkan basis data CVE bisa mengambil salinan ledger dari BitTorrent atau dari mana pun, lalu mem-parse seluruh data atau pembaruannya. Pembaruan CVE juga tidak terlalu banyak, dan semuanya memang harus dilacak secara permanen. Pembaruan bisa ditangani dengan menambahkan satu entri lagi ke chain, dan pelaku jahat juga akan sulit mengubahnya sembarangan
Basis data pusat dan mirror saja sudah cukup, dan sejauh ini cara itu baik-baik saja. Yang diperlukan adalah membuat data bisa digunakan dan dibagikan secara bebas, serta kalau bisa lembaga lain juga mengklasifikasikan kerentanan software untuk memberikan sejumlah redundansi dan replikasi
Saya berharap ini benar, tetapi informasi nyatanya sangat sedikit. Mereka mengatakan sedang merespons pengumuman, sekaligus mengatakan sudah mempersiapkannya selama 1 tahun
Jika bagian terakhir itu benar-benar disiapkan dengan matang, kemungkinan mereka akan mengumumkan sesuatu lebih awal, jadi saya ragu. Di sini tampaknya ada kemungkinan berbagai upaya akan terpecah. Akan bagus jika semua orang berkumpul di sekitar satu solusi, tetapi saya tidak tahu apakah ini solusi tersebut. Organisasi nirlaba berbasis di AS mungkin bukan solusi terbaik