La financiación del gobierno de los Estados Unidos para el cíclope de la investigación sin fines de interés Miter para proceder y surtir su software de vulnerabilidades y exposiciones comunes (CVE) expirará el miércoles, un explicación sin precedentes que podría sacudir uno de los pilares fundamentales del ecosistema mundial de ciberseguridad.
El software CVE de 25 primaveras es una útil valiosa para la gobierno de vulnerabilidades, que ofrece un standard de facto para identificar, determinar y catalogar públicamente fallas de seguridad utilizando IDS CVE.
Yosry Barsoum, vicepresidente de Miter y director del Centro para consolidar la nación (CSH), dijo que su financiación para «desarrollar, proceder y modernizar los programas de CVE y relacionados, como la enumeración de cariño global (CWE), expirarán».
«Si se produjera una ruptura en el servicio, anticipamos múltiples impactos a CVE, incluido el daño de las bases de datos de vulnerabilidades nacionales y los asesoramiento, proveedores de herramientas, operaciones de respuesta a incidentes y todo tipo de infraestructura crítica», señaló Barsoum en una carta enviada a los miembros de la Articulación CVE.
Sin retención, Barsoum señaló que el gobierno continúa «haciendo esfuerzos considerables» para apoyar el papel de Miter en el software y que Miter sigue comprometido con CVE como un petición mundial.
El software CVE se lanzó en septiembre de 1999 y ha sido administrado por Miter con el patrocinio del Área de Seguridad Franquista de los Estados Unidos (DHS) y la Agencia de Seguridad de Ciberseguridad e Infraestructura (CISA).
En respuesta a la medida, la firma de ciberseguridad Vulncheck, que es una autoridad de numeración de CVE (CNA), ha anunciado que está reservando proactivamente 1,000 CVE para 2025 para ayudar a guatar el infructifero.
«Un refrigerio de servicio probablemente degradaría las bases y avisos de datos de vulnerabilidades nacionales», dijo Jason Soroko, miembro senior de Sectigo, en un comunicado compartido con Hacker News.
«Este errata podría afectar negativamente a los proveedores de herramientas, las operaciones de respuesta a incidentes e infraestructura crítica ampliamente. Miter enfatiza su compromiso continuo, pero advierte sobre estos impactos potenciales si la vía de contratación no se mantiene».
Tim Peck, investigador senior de amenazas de Securonix, le dijo a The Hacker News que un errata podría tener consecuencias masivas para el ecosistema de ciberseguridad donde los CNA y los defensores pueden no poder obtener o propagar CVE, causando demoras en las revelaciones de vulnerabilidad.
«Adicionalmente, el esquema de enumeración de cariño global (CWE) es fundamental para la clasificación y priorización de la cariño del software», dijo Peck. «Su detención afectaría las prácticas de codificación seguros y las evaluaciones de riesgos. El software CVE es una infraestructura fundamental. No es solo un agradable tener una» índice referenciable «, es un petición principal para la coordinación de vulnerabilidad, los esfuerzos de priorización y respuesta en el sector privado, el gobierno y la fuente abierta».
