CVE, il Tracker Universale di Bug a rischio: come gli USA hanno quasi causato il suo declino

di
The US almost let the CVE system die - the cybersecurity world

Un’estensione dell’ultimo minuto del finanziamento ha salvato il sistema–ma solo per 11 mesi

Perché è importante: Gli articoli di questo sito che trattano delle vulnerabilità software includono tipicamente i codici CVE, utilizzati dalle aziende tecnologiche di tutto il mondo per identificare minacce alla sicurezza informatica. Questa settimana, il finanziamento per il programma che gestisce il database dei CVE era quasi terminato, mettendo potenzialmente a rischio gli sforzi di coordinamento globale per la sicurezza informatica. Anche se la crisi è stata scongiurata all’ultimo momento, la comunità della cybersecurity ha iniziato a prendere provvedimenti per evitare che la situazione si ripeta.

Il Dipartimento della Sicurezza Interna degli Stati Uniti ha prorogato il finanziamento per il programma Common Vulnerabilities and Exposures (CVE), che sarebbe scaduto mercoledì. Gli esperti avvertono che il programma è essenziale per gli sforzi di sicurezza informatica a livello mondiale.

I codici CVE forniscono un sistema standardizzato che permette alle aziende tecnologiche, ai ricercatori e agli hacker di identificare e gestire le vulnerabilità. Ad esempio, le pagine di avviso di sicurezza di Apple, Microsoft, Mozilla e altre aziende utilizzano questo sistema per etichettare i problemi. Sebbene entità di tutto il mondo si affidino ai codici CVE per assicurarsi di discutere delle stesse vulnerabilità, esso dipende da un programma finanziato dal governo e gestito dalla MITRE Corporation.

ULTIME NOTIZIE. Da una fonte affidabile. Il supporto di MITRE per il programma CVE è in scadenza domani. La lettera allegata è stata inviata ai membri del consiglio CVE.

[immagine o incorporamento]

– Tib3rius (@tib3rius.bsky.social) 15 aprile 2025 alle 13:23

Yosry Barsoum, vicepresidente e direttore del Center for Securing the Homeland, ha inviato un memo ai membri del consiglio CVE segnalando che il finanziamento era previsto per scadere il 16 aprile. Non è chiaro perché il DHS abbia quasi permesso la scadenza del finanziamento per i CVE, ma l’incidente è avvenuto nel mezzo della campagna di riduzione dei costi governativi promossa dall’amministrazione Trump.

LEGGI  Nvidia "Blackwell Ultra" GB300: 288GB di memoria HBM3e e consumo di 1400W!

Gli esperti hanno rapidamente lanciato l’allarme, sottolineando l’importanza dei CVE. Jen Easterly, ex direttrice della US Cybersecurity & Infrastructure Security Agency (CISA), ha definito i CVE il Sistema Decimale Dewey della cybersecurity. Ha spiegato che la sua interruzione avrebbe rallentato gli sforzi di coordinamento della cybersecurity globale perché diverse organizzazioni potrebbero perdere tempo a rifare gli stessi passaggi. Una situazione del genere potrebbe indebolire le risposte alle nuove minacce e dare un vantaggio agli attaccanti.

Mercoledì, un gruppo di membri del consiglio CVE ha istituito la CVE Foundation, un’organizzazione no-profit dedicata esclusivamente al mantenimento del database CVE nel caso in cui i finanziamenti della MITRE fossero scaduti. La mossa segue oltre un anno di pianificazione, e si prevede che la fondazione rilascerà ulteriori informazioni sulle sue attività nei prossimi giorni. I gruppi di cybersecurity europei hanno anche recentemente istituito il Database delle Vulnerabilità dell’Unione Europea, che include i codici CVE e un nuovo sistema di ID con l’etichetta EUVD.

Sebbene il finanziamento da parte del DHS sia ripreso, l’estensione dura solo 11 mesi e la probabilità di un rinnovo a marzo 2026 è incerta. Il finanziamento incide anche sul programma di Enumerazione delle Debolezze Comuni (CWE).

Messaggi simili: