Агентство по кибербезопасности и безопасности инфраструктуры США (CISA) официально подтвердило свою поддержку программы «Общие уязвимости и риски» (Common Vulnerabilities and Exposures, CVE). Также ведомство обозначило некоторые будущие приоритеты программы в рамках так называемой «Эпохи качества» (Quality Era).
Стратегический документ под названием «Качество CVE для кибербезопасного будущего» опубликовали 10 сентября. Ранее было принято решение о продлении контракта с MITRE на 11 месяцев, что, как сообщается, обеспечит финансирование программы до марта 2026 года. В тексте содержится призыв к тому, чтобы CVE оставалась государственной и нейтральной по отношению к поставщикам, поскольку приватизация «снижает её ценность как общественного блага».
Однако агентство признало необходимость более активной руководящей роли в программе, а также потребность в дополнительных инвестициях. «Многие в сообществе просили CISA рассмотреть альтернативные источники финансирования», — добавили безопасники, которые и будут оценивать «потенциальные механизмы диверсификации».
Исследователь уязвимостей в VulnCheck Патрик Гаррити отметил в LinkedIn отсутствие в документе какого-либо упоминания MITRE: «Может ли это означать намерение CISA взять на себя роль секретариата в администрировании программы? Мы по-прежнему стремимся содействовать улучшению CVE посредством значительного расширения участия, включая содействие развитию рабочей группы исследователей безопасности в сотрудничестве с Cisco Talos, инициативой Zero Day от Trend Micro, GitHub и другими организациями по нумерации CVE (CVE Numbering Authorities, CNA), занимающимися исследованиями в области безопасности».
В тексте также официально закреплён разрыв между предыдущей «эрой роста» программы и предстоящей «эрой качества». По данным CISA, эпоха роста «характеризуется успешным привлечением обширной всемирной сети из более чем 460 центров нумерации CVE, способствующих экспоненциальному росту возможностей ИБ-сообщества выявлять, определять и каталогизировать сотни тысяч уязвимостей».
Однако теперь программе нужно развиваться, чтобы «отвечать потребностям глобального сообщества кибербезопасности». Следовательно, сместить фокус на новые направления, в частности, на повышение доверия, оперативности реагирования и качества данных об уязвимостях. «Нам необходимо внедрить автоматизацию в экосистему для более быстрого устранения уязвимостей. И мы продолжаем развивать эту сферу», — отметил Кристофер Бутера, исполняющий обязанности исполнительного директора CISA.
Усам Оздемиров
