Une extension de financement de dernière minute a sauvé le système – mais uniquement pendant 11 mois
Pourquoi c'est important: Les articles sur ce site qui couvrent les vulnérabilités des logiciels incluent généralement des codes CVE, que les entreprises technologiques du monde entier utilisent pour identifier les menaces de cybersécurité. Le financement du programme qui gère la base de données CVE a presque expiré cette semaine, mettant potentiellement mis en œuvre les efforts mondiaux de coordination de la cybersécurité. Bien que la crise ait été évitée à la dernière minute, la communauté de la cybersécurité a commencé à prendre des mesures pour éviter une répétition.
Le Département américain de la sécurité intérieure a étendu le financement du programme commun des vulnérabilités et des expositions (CVE), qui devait expirer mercredi. Les experts préviennent que le programme est essentiel pour les efforts mondiaux de cybersécurité.
Les codes CVE fournissent un système standardisé qui permet aux entreprises technologiques, aux chercheurs et aux pirates d'identifier et de traiter les vulnérabilités. Par exemple, les pages consultatives de sécurité d'Apple, Microsoft, Mozilla et d'autres entreprises utilisent le système pour étiqueter les problèmes. Bien que les entités du monde entier dépendent des codes CVE pour s'assurer qu'elles discutent des mêmes vulnérabilités, elle dépend d'un programme financé par le gouvernement géré par la Miters Corporation.
RUPTURE. À partir d'une source fiable. Le support à mitre pour le programme CVE devrait expirer demain. La lettre ci-jointe a été envoyée aux membres du conseil d'administration de CVE.
(image ou intégration)
– Tib3rius (@ tib3rius.bsky.social) 15 avril 2025 à 13 h 23
Yosry Barsoum, vice-président et directeur du Center for Securing the Homeland, a envoyé un mémo alerter les membres du conseil d'administration de CVE selon lesquels le financement devait expirer le 16 avril. Pourquoi le DHS a presque permis le financement de la CVE à la laps de la réduction des coûts, mais l'incident s'est produit au milieu de la campagne agressive du gouvernement agressive de l'administration Trump de l'administration Trump.
Les experts ont rapidement soulevé des alarmes, soulignant l'importance de CVE. Jen Easterly, ancienne directrice de la US Cybersecurity & Infrastructure Security Agency (CISA), a appelé CVE le système décimal de la cybersécurité de Dewey. Elle a expliqué que son laps de temps ralentirait les efforts mondiaux de coordination de la cybersécurité parce que différentes organisations pourraient perdre du temps à se remettre les étapes de chacun. Une telle situation pourrait affaiblir les réponses aux nouvelles menaces et donner aux attaquants un avantage.
Mercredi, un groupe de membres du conseil d'administration de CVE a créé la Fondation CVE, un organisme à but non lucratif distinct axé uniquement sur le maintien de la base de données CVE au cas où le financement de Mitre expirerait. Cette décision fait suite à une année de planification et la fondation devrait publier plus d'informations sur ses efforts dans les prochains jours. Les groupes européens de cybersécurité ont également récemment créé la base de données de vulnérabilité de l'Union européenne, qui comprend des codes CVE et un nouveau système d'IDS portant l'étiquette EUVD.
Bien que le financement du DHS ait repris, la prolongation ne dure que 11 mois et la probabilité d'un renouvellement en mars 2026 n'est pas claire. Le financement a également un impact sur le programme de dénombrement de faiblesse commun (CWE).
