
CISA
有人取得負責美國國土安全部窗口的MITRE主任Yosry Barsoum發出的信件,內容是向CVE委員會透露一項重大改變,主角是廣泛受到全球資安領域採用的「常見漏洞披露(CVE)」資料庫,以及「通用缺陷列表(CWE)」等多項專案,MITRE的維護合約即將於4月15日到期,影響層面將會相當廣泛,現在出現新的發展。
美國網路安全暨基礎設施安全局(CISA)表示,他們決定將延長提供資金的時間,讓CVE專案的服務不致間斷。CISA指出CVE專案對於資安社群極為寶貴,也是他們的優先項目,他們在15日晚間執行了合約當中的延長選項來因應此事。CISA向資安媒體Bleeping Computer、SecurityAffairs透露,合約將延長11個月。
MITRE也證實了CISA的說法,他們在4月16日上午確認CISA決定提供資金維持CVE、CWE專案的運作,讓這些專案免於服務中斷的命運。MITRE感謝全球網路社群、相關行業、政府機關過去24小時的聲援,並感謝美國政府認可MITRE的角色,他們將持續為全球提供CVE及CWE的服務。
雖然CVE暫時逃過停止運作的情形,但在CISA承諾持續提供資金之前,CVE的部分成員決定成立獨立的CVE基金會來因應。CVE基金會指出,CVE專案自成立以來都仰賴美國政府的資助,這樣的情況本來就引起CVE董事會的擔憂,因為這項全球資安界依賴的專案資源,都是由單一政府供應資金維持運作,不僅這項專案的持續性存在隱憂,也存在中立性的問題。
對此,CVE董事會在收到4月15日MITRE發出的通知後,決定執行由一名CVE成員策畫一年的計畫,那就是將CVE過渡成為獨立的非營利基金會。該基金會的成立,代表CVE專案這項弱點管理生態圈開始排除單點故障的情況,並確保該專案能持續受到全球信任、以社群驅動邁出重要的一步。他們也將公布CVE基金會的組織架構、過渡規畫,以及社群參與機會等相關細節。