Vienpadsmitās stundu motokrosā, pirms tika noteikts, ka galvenais līgums beidzas otrdienas vakarā, Amerikas Savienoto Valstu kiberdrošības un infrastruktūras drošības aģentūra atjaunoja savu finansējumu ilggadīgajai programmatūras atļauju izsekošanas projektam, kas pazīstams kā kopējā ievainojamību un iedarbības programma. CVE programma, kuru pārvalda bezpeļņas pētījumu un attīstības grupas Miter, ir globālās kiberdrošības linchpin-nodrošinot kritiskus datus un pakalpojumus digitālajai aizsardzībai un pētniecībai.
CVE programmu pārvalda valde, kas nosaka MITER darba kārtību un prioritātes, lai veiktu CISA finansējuma izmantošanu. CISA pārstāvis trešdien paziņoja, ka līgums ar MITER tiek pagarināts uz 11 mēnešiem. “CVE programma ir nenovērtējama kibernoziegumu kopienai un CISA prioritāte,” viņi teica paziņojumā. “Pagājušajā naktī CISA izpildīja līguma izvēles periodu, lai pārliecinātos, ka kritiskajos CVE pakalpojumos netiks veikts zaudējums. Mēs novērtējam mūsu partneru un ieinteresēto personu pacietību.”
Mitra viceprezidents un dzimtenes centra direktors Yosry Barsoum trešdien paziņojumā sacīja, ka “CISA identificēja papildu finansējumu, lai programmas darbotos”. Kad pulkstenis tiktu atzīmēts pirms šī lēmuma iznākšanas, daži CVE programmas valdes locekļi paziņoja par plānu pārejam uz projektu uz a jauns bezpeļņas organizācija Entītija, ko sauc par CVE fondu.
“Kopš tās pirmsākumiem CVE programma ir darbojusies kā ASV valdības finansēta iniciatīva, un pārraudzība un vadība tiek nodrošināta saskaņā ar līgumu. Kamēr šī struktūra ir atbalstījusi programmas izaugsmi, tā ir arī radījusi ilgstošas bažas starp CVE valdes locekļiem par ilgtspējību un neitralitāti, kurā globāli tiek izmantots resurss, kas tika piesaistīts vienai valdības sponsoram,” paziņojums par fondu rakstīja paziņojumā. “Šīs bažas ir kļuvušas steidzamas pēc 2025. gada 15. aprīļa, MITER vēstule paziņoja CVE valdei, ka ASV valdība neplāno atjaunot līgumu par programmas pārvaldību. Kamēr mēs cerējām, ka šī diena nenāks, mēs esam gatavi šai iespējai.”
Nav skaidrs, kurš no Pašreizējā CVE dēlis ir saistīta ar jauno iniciatīvu, izņemot Kent Landfield, ilggadēju kiberdrošības nozares locekli, kurš tika citēts CVE fonda paziņojumā. CVE fonds nekavējoties neatdeva komentāru pieprasījumu.
CISA neatbildēja uz vadu jautājumiem par to, kāpēc tika apšaubīts CVE programmas līguma liktenis un vai tas bija saistīts ar nesenajiem budžeta samazinājumiem, kas samazina federālo valdību, kā to pilnvaroja Trumpa administrācija.
Pētnieki un kiberdrošības speciālisti trešdien tika atbrīvoti, ka CVE programma pēkšņi nebija pārstājusi pastāvēt, jo ASV federālā finansējumā nav vēl nepieredzētas nestabilitātes. Un daudzi novērotāji pauda piesardzīgu optimismu, ka incidents galu galā varētu padarīt CVE programmu izturīgāku, ja tā pāriet uz neatkarīgu vienību, kas nepiemēro finansējumu no vienas valdības vai cita viena avota.
“CVE programma ir kritiska, un tas ir ikviena interese, ka tā izdodas,” saka Patriks Garrity, Vulncheck drošības pētnieks. “Gandrīz katra organizācija un katrs drošības rīks ir atkarīgs no šīs informācijas, un tā nav tikai ASV. Tas tiek patērēts visā pasaulē. Tāpēc ir patiešām ļoti svarīgi, lai tas joprojām būtu sabiedrības nodrošināts pakalpojums, un mums ir jāizdomā, ko darīt šajā sakarā, jo zaudēt to būtu dangers visiem.”
Federālais iepirkuma ieraksti norādīt ka CVE programmas vadīšanai tas maksā desmitiem miljonu dolāru par līgumu. Wager to zaudējumu shēmā, kas var rasties no viena kiberuzbrukuma, izmantojot nepiespiestu programmatūras ievainojamību, eksperti stāsta Wired, darbības izmaksas šķiet nenozīmīgas, salīdzinot ar ieguvumu tikai ASV aizsardzībai.
Neskatoties uz CISA pēdējā brīža finansējumu, CVE programmas nākotne ilgtermiņā joprojām nav skaidra. Kā viens avots, kurš pieprasīja anonimitāti, jo viņi ir federāls darbuzņēmējs, izteicās: “Tas viss ir tik stulbi un bīstami.”
