Yayasan CVE

 (thecvefoundation.org)
1 poin oleh GN⁺ 2025-04-17 | 1 komentar | Bagikan ke WhatsApp
  • CVE Foundation didirikan untuk menjamin keberlanjutan jangka panjang dan independensi CVE Program
  • CVE Program telah menjadi pilar penting infrastruktur keamanan siber global selama 25 tahun
  • Berakhirnya kontrak dengan pemerintah AS memunculkan kebutuhan akan operasi CVE Program yang independen
  • CVE Foundation, sebagai organisasi nirlaba, akan terus menyediakan identifikasi kerentanan berkualitas tinggi
  • Ini menghadirkan peluang penting bagi komunitas keamanan siber internasional

Latar belakang pendirian CVE Foundation

  • CVE Foundation secara resmi didirikan, meletakkan dasar untuk menjamin keberlanjutan jangka panjang dan independensi CVE Program
  • CVE Program dijalankan dengan pendanaan dari pemerintah AS, tetapi muncul kekhawatiran terhadap struktur yang bergantung pada dukungan satu pemerintah saja

Pentingnya CVE Program

  • CVE adalah elemen inti dalam ekosistem keamanan siber global, sekaligus sumber daya penting yang digunakan para profesional keamanan setiap hari
  • Pengidentifikasi dan data CVE sangat penting bagi alat keamanan, advisori, intelijen ancaman, dan respons

Peran CVE Foundation

  • CVE Foundation menghilangkan titik kegagalan tunggal dalam ekosistem manajemen kerentanan dan memastikan CVE Program tetap menjadi inisiatif yang dipimpin komunitas serta dipercaya secara global
  • Ini memberikan peluang untuk membangun tata kelola yang sesuai bagi komunitas keamanan siber internasional

Rencana ke depan

  • CVE Foundation akan menyediakan informasi tentang struktur, rencana transisi, dan peluang partisipasi komunitas
  • Untuk informasi tambahan atau pertanyaan, hubungi info@thecvefoundation.org

Bacaan terkait

1 komentar

 
GN⁺ 2025-04-17
Pendapat Hacker News
  • Membagikan tautan ke postingan LinkedIn anggota dewan CVE, sambil menyebutkan bahwa informasi terkait juga kemungkinan bisa ditemukan melalui info kontak anggota dewan lain dan di platform siaran
  • Menyampaikan koreksi bahwa kontrak diperpanjang pada saat-saat terakhir
  • Berpendapat bahwa sudah waktunya perusahaan-perusahaan utama di industri perangkat lunak maju melalui konsorsium resmi
    • Model ini masuk akal karena merekalah yang menerima manfaat terbesar
    • Perusahaan teknologi besar melindungi produk mereka sendiri melalui CVE
    • Mereka memiliki pendapatan yang sangat besar dan tim keamanan khusus, sehingga dapat dengan mudah mendukung operasional CVE
    • Pendekatan konsorsium membagi tanggung jawab secara adil
    • Keamanan adalah masalah semua orang
  • Membagikan tautan ke thread terkait yang masih berlangsung
  • Karena ini adalah masalah keamanan, harus mengasumsikan skenario terburuk, dan menganggapnya tidak sah sampai MITRE mengonfirmasi pengambilalihan tersebut
  • Penasaran dengan anggaran MITRE, dan meskipun pendanaan CISA untuk program CVE tidak dipisahkan secara jelas, pernah melihat angkanya mencapai puluhan juta dolar per tahun
  • Sejak beralih dari administrasi sistem ke pengembangan perangkat lunak, tidak lagi secara aktif memantau kerentanan keamanan, dan belakangan hanya membaca berita tentang kerentanan berprofil tinggi
    • Lebih sering melihat CVE daripada cert
    • Penasaran dengan perbedaan dan hubungan antara cert dan CVE
  • Jika situasi ini bertahan, menganggap hasilnya lebih baik daripada sebelumnya
  • Karena siaran pers hampir tidak memuat informasi, banyak komentar negatif bermunculan, tetapi ada alasan untuk percaya ini sah sehingga mendukungnya
  • Berharap situasi ini benar-benar sah
    • Mengatakan sedang menanggapi pengumuman dan telah merencanakannya selama 1 tahun, tetapi jika bagian terakhir benar-benar direncanakan dengan kuat, muncul keraguan mengapa tidak diumumkan lebih awal
    • Menganggap ada kemungkinan upaya akan terpecah
    • Akan bagus jika semua orang mendukung satu solusi tunggal, tetapi tidak yakin bahwa ini adalah solusi tersebut
    • Organisasi nirlaba yang berbasis di AS mungkin bukan solusi terbaik