Финансирование правительством США программы по информационной безопасности CVE готовится к истечению срока

Будущее программы Common Vulnerabilities and Exposures (CVE) остается под вопросом, так как правительство США не продлило контракт на поддержку инициативы через некоммерческую организацию MITRE, и сегодня, 16 апреля, он истекает. Эксперты в области кибербезопасности теперь предупреждают о возможных глобальных последствиях для безопасности.

Программа CVE, запущенная в 1999 году, была разработана для создания системы идентификации и помощи инженерам и организациям в определении, применении патчей и устранении уязвимостей по всему миру. Рассмотрим код, который начинается с букв «CVE», за которыми следует год и уникальный номер — например, CVE-2024-50050, обнаруженный в AI Framework от Meta или нулевой день уязвимости Chrome CVE-2025-2783, замеченный несколько недель назад, — программа организует и контролирует глобальные уязвимости.

Корпорация MITRE поддерживает и управляет системой CVE с момента своего основания и последние 25 лет стабильно получает финансовую поддержку от Департамента внутренней безопасности (DHS) и Агентства по кибербезопасности и защите инфраструктуры (CISA).

Внутреннее письмо, отправленное Йосри Барсумом, вице-президентом и директором Центра по обеспечению безопасности родины (CHS) в MITRE, членам совета CVE, было утечкой и обнародовано на Bluesky.

«Мы хотим сообщить вам о важной потенциальной проблеме, связанной с постоянной поддержкой MITRE в рамках проекта CVE», — говорится в документе. «В среду, 16 апреля 2025 года, текущий контракт, позволяющий MITRE разрабатывать, управлять и модернизировать CVE, а также несколько других связанных программ, таких как CWE, истечет.»

The Verge подтвердил информацию, раскрытую на социальной медиа-платформе, и обратился к Барсуму, который заверил, что правительство прилагает усилия для продолжения поддержки MITRE, и что в то же время программа Common Weakness Enumeration (CWE), которая фокусируется на уязвимостях программного и аппаратного обеспечения, также будет затронута.

Исследователь в области кибербезопасности Лукаш Олейник выразил свои опасения по поводу X. «Администрация Трампа по сути (по крайней мере временно) парализует глобальную систему кибербезопасности», — написал он в своем посте. «Последствием станет нарушение координации между поставщиками, аналитиками и системами обороны — никто не будет уверен, что они говорят о той же уязвимости. Полный хаос и внезапное ослабление кибербезопасности в целом».

Сокращая расходы, которые можно сравнить с копейками, администрация Трампа эффективно (по крайней мере, временно) парализует глобальную систему кибербезопасности — CVE. Что такое CVE? Это глобальная система для идентификации и отслеживания уязвимостей, которая служила своего рода общим языком для… pic.twitter.com/WBCdLz0DdT

— Лукаш Олейник (@lukOlejnik) 15 апреля 2025

Другие эксперты и организации, включая MITRE, надеются найти другие источники финансирования и альтернативы для продолжения работы программы CVE в обычном режиме.