- โปรแกรม CVE ของ MITRE เกือบต้องหยุดดำเนินการในเวลาเที่ยงคืนวันที่ 16 เมษายน 2025 เนื่องจากสัญญาเงินทุนของ DHS หมดอายุ แต่ CISA ใช้สิทธิ์ช่วงต่ออายุของสัญญาเพื่อป้องกันช่องว่าง
- ตามแหล่งข่าว ระยะเวลาขยายคือ 11 เดือน และ CISA มองว่า CVE เป็นบริการหลักของชุมชนไซเบอร์และเป็นลำดับความสำคัญของหน่วยงาน
- เมื่อมีการยืนยันเงินทุนเพิ่มเติมสำหรับการดำเนินงานโปรแกรม CVE และ CWE ในเช้าวันที่ 16 เมษายน การหยุดให้บริการที่กำหนดไว้จึงถูกหลีกเลี่ยง
- CVE เป็นมาตรฐานโดยพฤตินัยสำหรับการระบุและจัดการช่องโหว่ และเป็น ข้อมูลพื้นฐาน ที่ NVD, vulnrichment ของ CISA, ผลิตภัณฑ์ของผู้ให้บริการความปลอดภัย, CERT และฐานข้อมูลช่องโหว่ขององค์กรพึ่งพา
- สาเหตุที่สัญญาหมดอายุยังไม่ชัดเจน และหากเกิดการหยุดดำเนินงานจริง การเพิ่มระเบียน CVE ใหม่จะหยุดลง ส่วนระเบียนเดิมมีกำหนดจะให้บริการผ่าน GitHub
หลีกเลี่ยงการหยุดชะงักด้วยการต่ออายุฉุกเฉินของ CISA
- Common Vulnerabilities and Exposures ของ MITRE หรือ โปรแกรม CVE มีกำหนดที่สัญญากับ DHS จะหมดอายุในเวลาเที่ยงคืนวันที่ 16 เมษายน 2025
- เมื่อ CISA ใช้สิทธิ์ช่วงต่ออายุของสัญญา การหยุดให้บริการ ของโปรแกรม MITRE CVE จึงจะไม่เกิดขึ้น
- CISA ระบุว่า CVE มีความสำคัญอย่างยิ่งต่อชุมชนไซเบอร์และเป็นลำดับความสำคัญของหน่วยงาน
- หน่วยงานระบุว่าได้ใช้สิทธิ์ช่วงต่ออายุของสัญญาเพื่อไม่ให้บริการหลักของ CVE เกิดช่องว่าง
- ตามแหล่งข่าว การต่อสัญญาจะคงอยู่ 11 เดือน
- Yosry Barsoum จาก MITRE ระบุว่าการดำเนินการของรัฐบาลช่วยหลีกเลี่ยงการหยุดชะงักของโปรแกรม CVE และ Common Weakness Enumeration หรือ โปรแกรม CWE
- ณ เช้าวันที่ 16 เมษายน 2025 CISA ยืนยันเงินทุนเพิ่มเติมเพื่อคงการดำเนินงานของโปรแกรมไว้
- MITRE ยังคงจุดยืนว่าจะรักษา CVE และ CWE ให้เป็นทรัพยากรระดับโลกต่อไป
การหมดอายุของสัญญาที่เดิมกำหนดไว้และผลกระทบ
- ณ วันที่ 15 เมษายน 2025 MITRE แจ้งต่อบอร์ด CVE ว่า หากสัญญากับ DHS หมดอายุ เงินทุนสำหรับดูแลฐานข้อมูล CVE จะสิ้นสุดลง
- รายการที่อยู่ภายใต้การหมดอายุรวมถึงงานที่ MITRE พัฒนา ดำเนินงาน และปรับปรุงโปรแกรม CVE ให้ทันสมัย รวมถึงโปรแกรมที่เกี่ยวข้องอย่าง โปรแกรม CWE
- Sasha Romanosky จาก Rand Corporation ประเมินว่า การตั้งชื่อ CVE และการจัดสรรตามแพ็กเกจซอฟต์แวร์และเวอร์ชันเป็นรากฐานของระบบนิเวศช่องโหว่ซอฟต์แวร์
- หากไม่มี CVE จะทำให้ติดตามช่องโหว่ที่ค้นพบใหม่ได้ยากขึ้น
- การให้คะแนนความรุนแรง การคาดการณ์ exploit และการตัดสินใจเรื่องแพตช์ก็อาจสั่นคลอนได้
- Ben Edwards จาก Bitsight ประเมินว่า CVE เป็นทรัพยากรที่มีคุณค่าและต้องได้รับเงินสนับสนุน โดยการไม่ต่อสัญญาเป็นความผิดพลาด
- ด้วยเฟรมเวิร์กแบบสหพันธ์และความเปิดกว้างของ CVE ผู้มีส่วนได้ส่วนเสียรายอื่นอาจรับช่วงดำเนินงานต่อได้
- อย่างไรก็ตาม หากผู้ดำเนินงานเปลี่ยนไป กระบวนการเปลี่ยนผ่านอาจยากลำบาก
บทบาทของ CVE ในระบบนิเวศช่องโหว่
- โปรแกรม CVE ของ MITRE เป็น แกนพื้นฐาน ของระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ระดับโลก และเป็นมาตรฐานโดยพฤตินัยที่ใช้ระบุช่องโหว่และชี้นำโปรแกรมจัดการช่องโหว่ของฝ่ายป้องกัน
- ข้อมูล CVE ให้ข้อมูลพื้นฐานแก่ผลิตภัณฑ์ของผู้ให้บริการในด้านการจัดการช่องโหว่ ข่าวกรองภัยคุกคามไซเบอร์ ข้อมูลความปลอดภัย การจัดการเหตุการณ์ และการตรวจจับและตอบสนองบนเอนด์พอยต์
- NIST เสริมข้อมูลเพิ่มเติมให้ระเบียน MITRE CVE ผ่าน National Vulnerability Database หรือ NVD
- CISA เองก็ได้เสริมข้อมูลให้ระเบียน MITRE CVE ผ่านโปรแกรม vulnrichment เพื่อตอบรับปัญหาเงินทุนไม่เพียงพอของโปรแกรม NVD
- MITRE เป็นผู้จัดทำ ระเบียน CVE ดั้งเดิม และทำหน้าที่เป็นแหล่งข้อมูลหลักสำหรับการระบุข้อบกพร่องด้านความปลอดภัย
ผลกระทบลูกโซ่ที่คาดว่าจะเกิดขึ้นหากหยุดดำเนินงาน
- Brian Martin ซึ่งเป็น CSO ของโครงการ Security Errata และอดีตสมาชิกบอร์ด CVE มองว่า หากเงินทุนของ MITRE หายไป จะเกิด ผลกระทบลูกโซ่ทันที ต่อการจัดการช่องโหว่ทั่วโลก
- โมเดลแบบสหพันธ์และ CVE Numbering Authorities หรือ CNA จะไม่สามารถจัดสรร ID และส่งข้อมูลไปยัง MITRE เพื่อเผยแพร่อย่างรวดเร็วได้อีกต่อไป
- NVD อาศัย CVE เป็นฐาน และมี backlog ของช่องโหว่มากกว่า 30,000 รายการ รวมถึงรายการ “deferred” มากกว่า 80,000 รายการอยู่แล้ว
- “deferred” หมายถึงรายการที่จะไม่ได้รับการวิเคราะห์อย่างสมบูรณ์ตามเกณฑ์ปัจจุบัน
- องค์กรที่ดำเนินฐานข้อมูลช่องโหว่ของตนเองก็ต้องหาแหล่งข่าวกรองทางเลือก
- ฐานข้อมูลช่องโหว่ระดับชาติ รวมถึงของจีนและรัสเซีย, CERT ระดับประเทศและภูมิภาคหลายร้อยถึงหลายพันแห่งทั่วโลก และโปรแกรมจัดการช่องโหว่ขององค์กรที่พึ่งพา CVE/NVD ต่างก็อาจได้รับผลกระทบ
สาเหตุการสิ้นสุดสัญญาและสถานการณ์งบประมาณของรัฐบาล
- ยัง ไม่ชัดเจน ว่าเหตุใด DHS จึงพยายามยุติสัญญาโปรแกรม CVE ที่ให้เงินสนับสนุนมาเป็นเวลา 25 ปี
- รัฐบาล Trump ได้ลดการใช้จ่ายภาครัฐโดยรวม โดยมีโครงการ Department of Government Efficiency ของ Elon Musk เป็นศูนย์กลาง
- DHS ให้เงินสนับสนุนโปรแกรม MITRE CVE ผ่าน CISA และ CISA ก็เผชิญการตัดลดเงินทุนไปแล้วสองครั้ง
- ตามรายงาน พนักงาน CISA ประมาณ 1,300 คน หรือเกือบ 40% ยังคงอยู่ในข่ายถูกเลิกจ้าง
- แหล่งข่าวระบุว่า เมื่อเทียบกับการตัดลดงบประมาณในส่วนอื่นของรัฐบาลกลาง ต้นทุนดำเนินงานของโปรแกรม CVE นั้นเล็กและไม่ถึงระดับที่จะ “ทำให้การคลังพัง”
ทางเลือกภาคเอกชนและการรับมือชั่วคราว
- หากไม่มีการต่อสัญญา ตั้งแต่เที่ยงคืนวันที่ 16 เมษายน 2025 MITRE จะไม่เพิ่มระเบียนใหม่ลงในฐานข้อมูล CVE
- ระเบียน CVE เดิมมีกำหนดจะให้บริการบน GitHub
- Patrick Garrity จาก VulnCheck มองว่า หลังความล้มเหลวของ NIST NVD ในปีก่อน ระบบนิเวศช่องโหว่ก็เปราะบางลง และผลกระทบต่อโปรแกรม CVE อาจเป็นผลเสียต่อฝ่ายป้องกันและชุมชนความปลอดภัย
- VulnCheck ได้จอง CVE ปี 2025 จำนวน 1,000 รายการ ไว้ล่วงหน้า ในสถานการณ์ที่ยังไม่แน่ชัดว่าบริการใดของ MITRE หรือโปรแกรม CVE จะได้รับผลกระทบ
- CISA ระบุว่า CVE ถูกใช้โดยรัฐบาลและภาคอุตสาหกรรมในการเปิดเผย จัดประเภท และแบ่งปันช่องโหว่ทางเทคโนโลยี และยังเกี่ยวข้องกับข้อมูลช่องโหว่ที่อาจทำให้โครงสร้างพื้นฐานสำคัญของชาติตกอยู่ในความเสี่ยง
1 ความคิดเห็น
ความเห็นจาก Hacker News
มีเธรดที่กำลังคุยกันเกี่ยวกับเรื่องนี้อยู่: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409
สัญญาได้ถูกต่ออายุกับ MITRE แล้ว: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
คงน่าจะเป็นการต่ออายุแบบไม่มีกำหนด DOGE อาจเป็นแหล่งรวมคนโง่ แต่ใน DOD ทั้งหมดก็ยังมีคนที่ไม่โง่อยู่ด้วย
ไม่รู้ว่าสังเกตไหม แต่พวกเขาใช้วิธีจัดงบประมาณแบบ zero-based คือหั่นทุกอย่างก่อน แล้วค่อยเอาเฉพาะสิ่งที่สำคัญจริง ๆ กลับมา เป็นแนวทางตัดก่อนแล้วค่อยถามทีหลัง
อีกประเด็นสำคัญคือ MITRE เป็นผู้รับเหมาของ DoD การที่โปรแกรม CVE อยู่ในมือของบริษัทที่ได้รับเงินทุนจากกองทัพสหรัฐฯ อาจก่อให้เกิดความกังวลเรื่อง ผลประโยชน์ทับซ้อน ในระบบนิเวศที่ต้องพึ่งพาความเป็นกลางและความเชื่อมั่นระดับโลก
ช่วงนี้กำลังลองใช้วิธีเติม [fixed] ไว้ท้ายชื่อเรื่องเดิม เพื่อแจ้งให้ผู้อ่านรู้ว่าสถานะเปลี่ยนไปแล้ว ไม่แน่ใจว่าเป็นวิธีที่ดีที่สุดไหม และก็ไม่แน่ใจด้วยว่าสถานการณ์ได้รับการแก้ไขจริงหรือไม่ แต่ก็ดูดีกว่าไม่ทำอะไรเลย การเปลี่ยนบทความและชื่อเรื่องของเธรดเดิมอาจให้ความรู้สึกเหมือนหักหลังกันเกินไป
สัญญาหมดอายุวันนี้ แต่มี ช่วงออปชัน จนถึงมีนาคม 2026 และ DHS แค่ต้องใช้สิทธิ์ออปชันนั้นเท่านั้น
แก้ไข: วันสิ้นสุดสัญญาคือวันนี้ 16 เมษายน ดังนั้นถ้าไม่ได้ใช้สิทธิ์ออปชัน งานก็คงหยุดตอนเที่ยงคืนวันนี้ สัญญาภาครัฐมักลากไปถึงนาทีสุดท้ายแบบนี้เป็นเรื่องปกติ และการใช้สิทธิ์ออปชันล่าช้าก็เกิดขึ้นบ่อย แล้วทำไมกรณีนี้ถึงกลายเป็นเรื่องใหญ่ขนาดนี้? CISA ส่งสัญญาณให้ MITRE หรือเปล่าว่าจะไม่ใช้สิทธิ์ออปชัน?
หวังว่าเรื่องแบบนี้จะไม่เกิดขึ้น สงสัยว่า โครงสร้างแบบไซโล บางอย่างภายใน DHS ทำให้พวกเขามองไม่เห็นว่าข้อเสียมันใหญ่พอหรือเปล่า
ไม่น่าจะมีผู้เชี่ยวชาญในสาขานี้คนไหนยืนกรานแรง ๆ ว่า “ฆ่าทิ้งได้ ไม่จำเป็น” ถ้าถามจริง ๆ ก็คงพูดแรง ๆ ว่า “ได้โปรดอย่าแตะต้องมัน เราต้องใช้สิ่งนี้”
แต่ก็มีความเป็นไปได้ว่าผู้บริหารฝ่ายการเงินระดับสูงกำลัง “สืบค้นเอง” แล้วเข้าใจผิดว่าคนอื่นใช้ CVE อย่างไรและใครเป็นผู้ให้ทุน
https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
และยังมีอีกมากมาย นี่เป็นหายนะเต็มรูปแบบมาหลายเดือนแล้ว และ ณ จุดนี้ก็อาจเป็นไปได้ว่าพวกเขาคิดจะเปลี่ยนแนวทางอย่างรุนแรง
ทั้งหมดนี้คือ การกระทำทางอาญา ของรัฐบาลชุดปัจจุบัน
กลุ่มสมาชิกคณะกรรมการ CVE ได้เปิดตัว CVE Foundation ใหม่ “เพื่อรับประกันความอยู่รอดในระยะยาว เสถียรภาพ และความเป็นอิสระของ Common Vulnerabilities and Exposures(CVE) Program”
https://www.thecvefoundation.org
https://mastodon.social/@serghei/114346660986059236
ผู้จำหน่ายผลิตภัณฑ์มีแรงจูงใจที่จะบิดกระบวนการออก CVE ให้เข้ากับ กำหนดการแก้ไข ของตนเอง ส่วนบริษัทความปลอดภัยก็มีแรงจูงใจที่จะได้เข้าถึงฐานข้อมูล CVE ก่อนเพื่อให้ได้เปรียบในการแข่งขัน
ไม่ใช่ว่าองค์กรที่ดำเนินงานด้วยเงินทุนเชิงพาณิชย์จะหลีกเลี่ยงการถูกครอบงำแบบนี้ไม่ได้ แต่ก็ไม่ง่าย ความสัมพันธ์ระหว่าง Mozilla Foundation กับ Google ผุดขึ้นมาในหัวทันที
แก้ไข: downvote ได้ตามสบาย ถ้อยคำอาจรุนแรงเกินไปจนทำให้ประเด็นพร่าไป สิ่งที่น่าสนใจคือผู้ที่ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยหลงเชื่อชื่อ คำอ้างอิง และอำนาจได้ง่ายเพียงใด
ความไว้วางใจไม่ได้เกิดขึ้นชั่วข้ามคืน และจริง ๆ แล้วก็ไม่เคยเกิดขึ้นอย่างสมบูรณ์ ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศคงไม่หลงเชื่อ การอ้อมผ่านซัพพลายเชน แบบนี้ที่อนาคตไม่แน่นอนได้ง่าย ๆ หวังว่าเราจะไม่ต้องทดสอบความคิดนี้ในเร็ว ๆ นี้ แต่ก็ยังต้องมีความน่าเชื่อถือและการทำอัตโนมัติระยะยาวในระดับหนึ่ง สิ่งที่จำเป็นคือระบบทางเทคนิคที่มีฉันทามติอย่างกว้างขวาง ไม่ใช่ “มูลนิธิ”
สิ่งที่แดกดันจริง ๆ คือผู้ก่อตั้ง Y Combinator จำนวนมากและผู้อ่าน HN นั่นแหละที่ทำให้เรื่องแบบนี้เกิดขึ้นได้ และตอนนี้กลับสงสัยว่าทำไมงูถึงกินหางตัวเอง
พวกเขา หรืออย่างน้อยบางส่วน อาจมองว่าสามารถยึดหน้าที่นี้มาทำเงินได้ เป็นกระแสรายได้ประจำ เป็นโมเดลสมาชิกที่มีมูลค่า และลูกค้าก็จำเป็นต้องใช้บริการนี้จริง ๆ ถ้าไม่จำเป็น ก็ออกกฎหมายใหม่บังคับให้สมัครภายใต้ข้ออ้างเรื่องความปลอดภัย IT ได้
โลกที่ NOAA ถูกยุบ และถ้าต้องการรับคำเตือนพายุเฮอริเคนมหึมาที่รุนแรงขึ้นจากการเปลี่ยนแปลงสภาพภูมิอากาศก็ต้องจ่ายเงิน ส่วนการเปลี่ยนแปลงสภาพภูมิอากาศนั้นก็เกิดจากความโลภแบบเดิมที่บุ่มบ่ามและไร้การกำกับดูแล มหาเศรษฐีพันล้านไม่ควรมีอยู่ และเศรษฐีเงินล้านก็เช่นกัน
การนำ CVE ไปใช้ ในปัจจุบันก็มีปัญหาใหญ่ไม่ใช่หรือ? โดยเฉพาะปัญหาที่ script kiddie และเครื่องมือ AI เติมสแปมลงฐานข้อมูล และโปรเจกต์ที่จริงจังกับความปลอดภัยแทบไม่มีสิทธิ์มีเสียงต่อ “คะแนน” ที่ถูกกำหนดให้
คะแนนส่วนใหญ่ไร้ประโยชน์จนถ้าหายไปก็คงไม่แคร์ และเอาจริง ๆ ก็ไม่ได้ดูด้วยซ้ำ แต่ก็ไม่ค่อยเข้าใจว่าทำไมผู้คนถึงโมโหคะแนนห่วย ๆ กันขนาดนั้น
ถ้าคะแนน CVSS สูงสร้างงานจำนวนมาก แปลว่ากระบวนการจัดการช่องโหว่เสียแล้ว หรือไม่เช่นนั้นก็เป็นงานคอมพลายแอนซ์ ไม่ใช่งานความปลอดภัย ถ้าคุณเกลียดคอมพลายแอนซ์ คะแนน CVSS ก็ไม่ใช่ต้นตอของความเจ็บปวด
“รายการกลาง ที่รวบรวมสิ่งต่าง ๆ ที่คุณอาจใส่ใจหรือไม่ใส่ใจก็ได้ พร้อมติด ID ที่เสถียรให้” มีคุณค่ามาก
ถึงอย่างนั้น ปัญหาเรื่องคะแนนก็ไม่ใช่เหตุผลที่ดีพอจะเผา ระบบ CVE ทั้งระบบทิ้ง
การกระโดดจาก “สิ่งนี้มีข้อบกพร่อง” ไปเป็น “งั้นฆ่ามันทิ้ง” คือ ตรรกะวิบัติ ทะเบียนด้านความปลอดภัยที่มีข้อบกพร่องยังดีกว่าไม่มีทะเบียนด้านความปลอดภัยเลยอย่างชัดเจน
หากคุณเคยทำ การจัดการ CVE ในซอฟต์แวร์โอเพนซอร์ส ก็น่าจะรู้อยู่แล้วว่าการลดเงินทุนของ NVD ดำเนินมานานกว่าหนึ่งปีแล้ว
เมษายน 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
NIST ดูแล National Vulnerability Database (NVD) ซึ่งเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านความมั่นคงไซเบอร์ของประเทศ การเพิ่มขึ้นของซอฟต์แวร์และช่องโหว่ที่เพิ่มตามมา รวมถึงการเปลี่ยนแปลงด้านการสนับสนุนระหว่างหน่วยงาน ทำให้งานช่องโหว่ค้างสะสมมากขึ้น กำลังพิจารณาแนวทางแก้ปัญหาระยะยาวด้วย เช่น การจัดตั้งคอนซอร์เทียมขององค์กรจากภาคอุตสาหกรรม รัฐบาล และผู้มีส่วนได้ส่วนเสียอื่น ๆ ที่สามารถร่วมมือกันในการวิจัยเพื่อปรับปรุง NVD
กันยายน 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
“ความปลอดภัยและการจัดการช่องโหว่ในซอฟต์แวร์กำลังสำคัญขึ้นเรื่อย ๆ เหตุการณ์ล่าสุดส่งผลเสียต่อความสามารถของหลายโครงการในการระบุปัญหาและทำให้ปัญหาได้รับการแก้ไขอย่างทันท่วงที เรื่องนี้น่ากังวลอย่างมาก จนกระทั่งไม่นานมานี้ เรามักพึ่งพาข้อมูลของ NVD ที่เพิ่มข้อมูลเหล่านั้นเข้าไป มากกว่าข้อมูลจากโครงการ CVE เอง”
เมื่อ 5 ปีก่อนในปี 2019 ผมเคยช่วยเตรียมการนำเสนอของ CERT Director แห่ง Carnegie Mellon และตอนนั้นก็พูดถึงงาน CVE ที่ค้างสะสมและการขาดทรัพยากรเช่นกัน ช่องโหว่ที่ถูกรายงานจำนวนมากไม่ได้รับแม้แต่หมายเลข CVE ด้วยซ้ำ หลังจากนั้นคิวก็ยาวขึ้น เงินทุนลดลง แต่ยอดเข้าชมเฉลี่ยต่อปีกลับต่ำกว่า 100 ครั้ง: https://www.youtube.com/watch?v=WmC65VrnBPI
ดูเหมือนว่าเงินทุนเพิ่งถูกตัดวันนี้ และข้อความอ้างอิงทั้งสองก็ดูเหมือนพูดว่ายังทำงานต่ออยู่และงานนั้นสำคัญ
หมายความว่ามีภัยคุกคามบางรูปแบบต่อ NVD มานานกว่าหนึ่งปีแล้วหรือ? แค่อยากแน่ใจว่าผมเข้าใจถูก
บทความนั้นพูดว่าปริมาณช่องโหว่ของซอฟต์แวร์เพิ่มขึ้นจนโครงการ CVE และ NVD ตามไม่ทัน
อยากให้เลิกโปรยสปินทางการเมืองใส่เธรดนี้ต่อไปได้แล้ว
ทำให้อดสงสัยไม่ได้ว่า ในบรรดาสิ่งที่สำคัญต่อสังคมแต่คนส่วนใหญ่ไม่รู้ด้วยซ้ำว่ามีอยู่ มีอะไรอีกบ้างที่หายไปอย่างเงียบ ๆ ในช่วงไม่กี่สัปดาห์ที่ผ่านมา
เรารู้เรื่องนี้เพราะเรารู้ว่ามันสำคัญ แล้วสิ่งที่เราไม่รู้ล่ะมีอะไรบ้าง?
แม้จะพยายามตีความอย่างดีที่สุดเท่าที่จะทำได้ ก็ยังนึก เหตุผลที่ไม่ใช่เจตนาร้าย เพื่อทำให้เรื่องนี้ชอบธรรมไม่ออกจริง ๆ
ผู้นำปัจจุบันดูเหมือนไม่เข้าใจสิ่งที่ไม่หวือหวา สงสัยว่าเมื่อไรจะถอยหลังเรื่องความปลอดภัยของอาหาร ถ้าเป็น RFK คงรู้จักวิตามินสักสองสามตัวที่ช่วยกันซัลโมเนลลาได้
นี่เป็นหนึ่งในงานที่รัฐบาลทำเพื่อ ประโยชน์สาธารณะ
หรือไม่ก็พยายามขาย คะแนนจัดลำดับความเสี่ยง ทางเลือกของตัวเอง ทุกบริษัทเต็มใจใช้ข้อมูล NVD และ CVE แต่ไม่อยากจ่ายเงินอุดหนุนที่ช่วยคู่แข่ง โดยเฉพาะในอุตสาหกรรมที่แข่งขันดุเดือดอย่างความมั่นคงไซเบอร์
MITRE Corporation ทำงานอื่นอีกมาก และดูเหมือนมีรายได้ต่อปี 2.2 พันล้านดอลลาร์
บริษัทมูลค่าหลายล้านล้านดอลลาร์ได้รับประโยชน์จากระบบนี้และก็มีส่วนร่วมอยู่แล้ว พวกเขาจ่ายสักราว 0.01% ของรายได้ให้โครงสร้างพื้นฐานสำคัญชิ้นเล็ก ๆ นี้ไม่ได้หรือ?
steelmanning เป็นคำใหม่ที่ไม่มีประโยชน์นอกจากเป็นสัญญาณภายในกลุ่ม สำหรับแนวคิดเดียวกันนี้ เรามีคำที่ดีพออยู่แล้ว คือ “charitability” ซึ่งละเอียดอ่อนกว่าและมีประวัติยาวนานกว่า
ความแตกต่างใหญ่คือ charitability เป็นเรื่องของการเคารพอีกฝ่าย ส่วน Steelmanning ค่อนข้างเหมือนการใช้ปัญญาของตัวเองทำให้ข้อโต้แย้งของอีกฝ่ายดีขึ้นกว่าที่เจ้าตัวทำได้
charitability ตั้งอยู่บนแนวคิดเรื่องความเคารพซึ่งกันและกัน ดังนั้นถ้าเห็นชัดว่ามีคนไม่เคารพเราเลยแม้แต่น้อย ก็ถามได้ว่าทำไมเราต้องมองเขาด้วยเจตนาดี Steelmanning พยายามแยกคนออกจากข้อโต้แย้ง และในทางประชดประชัน มันทั้งหยิ่งและไร้เดียงสา
สาเหตุรากฐาน: ความขัดข้องที่เลเยอร์ 8
https://www.computerhope.com/jargon/l/layer8.htm