MITRE не получил финансирования для дальнейшего ведения базы CVE-индентификаторов уязвимостей
Правительство США не продлило контракт с организацией MITRE, связанный с финансированием работы по назначению уязвимостям идентификаторов CVE (Common Vulnerabilities and Exposures), ведению централизованной базы данных общеизвестных уязвимостей, а также списка видов уязвимостей (CWE — Common Weakness Enumeration). Кроме того, отмечено общее сокращение финансирования MITRE, которое уже привело к увольнению более 400 сотрудников в этом месяце. Предполагается, что если MITRE не найдёт альтернативные пути поддержания программы, то уже сегодня может быть остановлено обновление и присвоение новых CVE в MITRE.
На момент написания новости содержимое БД обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено позднее). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале БД на GutHub.
CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.
Назначение CVE уже частично децентрализовано, так как многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров.
Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Curl, Debian, Apache, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE). При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих порт проводилась силами MITRE.
Источник: http://www.opennet.ru/opennews/art.shtml? num=63085
© OpenNet
