На момент написания новости содержимое БД CVE обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено после начала рабочего дня). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале на GitHub.
CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно, корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.
Назначение CVE уже частично децентрализовано - многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров. При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих пор проводилась силами MITRE.
Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Apache, Curl, Debian, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE).
Дополнение 1: Правительство США возобновило финансирование деятельности MITRE, связанной с поддержанием базы CVE. Контракт продлён.
Дополнение 2: Анонсировано создание некоммерческой организации CVE Foundation, нацеленной на поддержание стабильной деятельности и независимости проекта CVE. В управляющем совете CVE (CVE Board) уже давно обсуждались опасения об устойчивости и нейтральности сервиса, используемого по всему миру, но целиком зависящего от государственного финансирования. Последний год коалиция из активных членов совета CVE вела разработку стратегии перевода CVE в независимый некоммерческий фонд, который сосредоточится исключительно на продолжении миссии по идентификации уязвимостей и сохранению доступности данных CVE.
Источник: https://www.opennet.ru/opennews/art.shtml?num=63085
(opennet.ru, основная лента)