2 คะแนน โดย GN⁺ 2025-04-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • โปรแกรม CVE ของ MITRE เกือบต้องหยุดดำเนินการในเวลาเที่ยงคืนวันที่ 16 เมษายน 2025 เนื่องจากสัญญาเงินทุนของ DHS หมดอายุ แต่ CISA ใช้สิทธิ์ช่วงต่ออายุของสัญญาเพื่อป้องกันช่องว่าง
  • ตามแหล่งข่าว ระยะเวลาขยายคือ 11 เดือน และ CISA มองว่า CVE เป็นบริการหลักของชุมชนไซเบอร์และเป็นลำดับความสำคัญของหน่วยงาน
  • เมื่อมีการยืนยันเงินทุนเพิ่มเติมสำหรับการดำเนินงานโปรแกรม CVE และ CWE ในเช้าวันที่ 16 เมษายน การหยุดให้บริการที่กำหนดไว้จึงถูกหลีกเลี่ยง
  • CVE เป็นมาตรฐานโดยพฤตินัยสำหรับการระบุและจัดการช่องโหว่ และเป็น ข้อมูลพื้นฐาน ที่ NVD, vulnrichment ของ CISA, ผลิตภัณฑ์ของผู้ให้บริการความปลอดภัย, CERT และฐานข้อมูลช่องโหว่ขององค์กรพึ่งพา
  • สาเหตุที่สัญญาหมดอายุยังไม่ชัดเจน และหากเกิดการหยุดดำเนินงานจริง การเพิ่มระเบียน CVE ใหม่จะหยุดลง ส่วนระเบียนเดิมมีกำหนดจะให้บริการผ่าน GitHub

หลีกเลี่ยงการหยุดชะงักด้วยการต่ออายุฉุกเฉินของ CISA

  • Common Vulnerabilities and Exposures ของ MITRE หรือ โปรแกรม CVE มีกำหนดที่สัญญากับ DHS จะหมดอายุในเวลาเที่ยงคืนวันที่ 16 เมษายน 2025
  • เมื่อ CISA ใช้สิทธิ์ช่วงต่ออายุของสัญญา การหยุดให้บริการ ของโปรแกรม MITRE CVE จึงจะไม่เกิดขึ้น
    • CISA ระบุว่า CVE มีความสำคัญอย่างยิ่งต่อชุมชนไซเบอร์และเป็นลำดับความสำคัญของหน่วยงาน
    • หน่วยงานระบุว่าได้ใช้สิทธิ์ช่วงต่ออายุของสัญญาเพื่อไม่ให้บริการหลักของ CVE เกิดช่องว่าง
    • ตามแหล่งข่าว การต่อสัญญาจะคงอยู่ 11 เดือน
  • Yosry Barsoum จาก MITRE ระบุว่าการดำเนินการของรัฐบาลช่วยหลีกเลี่ยงการหยุดชะงักของโปรแกรม CVE และ Common Weakness Enumeration หรือ โปรแกรม CWE
    • ณ เช้าวันที่ 16 เมษายน 2025 CISA ยืนยันเงินทุนเพิ่มเติมเพื่อคงการดำเนินงานของโปรแกรมไว้
    • MITRE ยังคงจุดยืนว่าจะรักษา CVE และ CWE ให้เป็นทรัพยากรระดับโลกต่อไป

การหมดอายุของสัญญาที่เดิมกำหนดไว้และผลกระทบ

  • ณ วันที่ 15 เมษายน 2025 MITRE แจ้งต่อบอร์ด CVE ว่า หากสัญญากับ DHS หมดอายุ เงินทุนสำหรับดูแลฐานข้อมูล CVE จะสิ้นสุดลง
  • รายการที่อยู่ภายใต้การหมดอายุรวมถึงงานที่ MITRE พัฒนา ดำเนินงาน และปรับปรุงโปรแกรม CVE ให้ทันสมัย รวมถึงโปรแกรมที่เกี่ยวข้องอย่าง โปรแกรม CWE
  • Sasha Romanosky จาก Rand Corporation ประเมินว่า การตั้งชื่อ CVE และการจัดสรรตามแพ็กเกจซอฟต์แวร์และเวอร์ชันเป็นรากฐานของระบบนิเวศช่องโหว่ซอฟต์แวร์
    • หากไม่มี CVE จะทำให้ติดตามช่องโหว่ที่ค้นพบใหม่ได้ยากขึ้น
    • การให้คะแนนความรุนแรง การคาดการณ์ exploit และการตัดสินใจเรื่องแพตช์ก็อาจสั่นคลอนได้
  • Ben Edwards จาก Bitsight ประเมินว่า CVE เป็นทรัพยากรที่มีคุณค่าและต้องได้รับเงินสนับสนุน โดยการไม่ต่อสัญญาเป็นความผิดพลาด
    • ด้วยเฟรมเวิร์กแบบสหพันธ์และความเปิดกว้างของ CVE ผู้มีส่วนได้ส่วนเสียรายอื่นอาจรับช่วงดำเนินงานต่อได้
    • อย่างไรก็ตาม หากผู้ดำเนินงานเปลี่ยนไป กระบวนการเปลี่ยนผ่านอาจยากลำบาก

บทบาทของ CVE ในระบบนิเวศช่องโหว่

  • โปรแกรม CVE ของ MITRE เป็น แกนพื้นฐาน ของระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ระดับโลก และเป็นมาตรฐานโดยพฤตินัยที่ใช้ระบุช่องโหว่และชี้นำโปรแกรมจัดการช่องโหว่ของฝ่ายป้องกัน
  • ข้อมูล CVE ให้ข้อมูลพื้นฐานแก่ผลิตภัณฑ์ของผู้ให้บริการในด้านการจัดการช่องโหว่ ข่าวกรองภัยคุกคามไซเบอร์ ข้อมูลความปลอดภัย การจัดการเหตุการณ์ และการตรวจจับและตอบสนองบนเอนด์พอยต์
  • NIST เสริมข้อมูลเพิ่มเติมให้ระเบียน MITRE CVE ผ่าน National Vulnerability Database หรือ NVD
  • CISA เองก็ได้เสริมข้อมูลให้ระเบียน MITRE CVE ผ่านโปรแกรม vulnrichment เพื่อตอบรับปัญหาเงินทุนไม่เพียงพอของโปรแกรม NVD
  • MITRE เป็นผู้จัดทำ ระเบียน CVE ดั้งเดิม และทำหน้าที่เป็นแหล่งข้อมูลหลักสำหรับการระบุข้อบกพร่องด้านความปลอดภัย

ผลกระทบลูกโซ่ที่คาดว่าจะเกิดขึ้นหากหยุดดำเนินงาน

  • Brian Martin ซึ่งเป็น CSO ของโครงการ Security Errata และอดีตสมาชิกบอร์ด CVE มองว่า หากเงินทุนของ MITRE หายไป จะเกิด ผลกระทบลูกโซ่ทันที ต่อการจัดการช่องโหว่ทั่วโลก
  • โมเดลแบบสหพันธ์และ CVE Numbering Authorities หรือ CNA จะไม่สามารถจัดสรร ID และส่งข้อมูลไปยัง MITRE เพื่อเผยแพร่อย่างรวดเร็วได้อีกต่อไป
  • NVD อาศัย CVE เป็นฐาน และมี backlog ของช่องโหว่มากกว่า 30,000 รายการ รวมถึงรายการ “deferred” มากกว่า 80,000 รายการอยู่แล้ว
    • “deferred” หมายถึงรายการที่จะไม่ได้รับการวิเคราะห์อย่างสมบูรณ์ตามเกณฑ์ปัจจุบัน
  • องค์กรที่ดำเนินฐานข้อมูลช่องโหว่ของตนเองก็ต้องหาแหล่งข่าวกรองทางเลือก
  • ฐานข้อมูลช่องโหว่ระดับชาติ รวมถึงของจีนและรัสเซีย, CERT ระดับประเทศและภูมิภาคหลายร้อยถึงหลายพันแห่งทั่วโลก และโปรแกรมจัดการช่องโหว่ขององค์กรที่พึ่งพา CVE/NVD ต่างก็อาจได้รับผลกระทบ

สาเหตุการสิ้นสุดสัญญาและสถานการณ์งบประมาณของรัฐบาล

  • ยัง ไม่ชัดเจน ว่าเหตุใด DHS จึงพยายามยุติสัญญาโปรแกรม CVE ที่ให้เงินสนับสนุนมาเป็นเวลา 25 ปี
  • รัฐบาล Trump ได้ลดการใช้จ่ายภาครัฐโดยรวม โดยมีโครงการ Department of Government Efficiency ของ Elon Musk เป็นศูนย์กลาง
  • DHS ให้เงินสนับสนุนโปรแกรม MITRE CVE ผ่าน CISA และ CISA ก็เผชิญการตัดลดเงินทุนไปแล้วสองครั้ง
  • ตามรายงาน พนักงาน CISA ประมาณ 1,300 คน หรือเกือบ 40% ยังคงอยู่ในข่ายถูกเลิกจ้าง
  • แหล่งข่าวระบุว่า เมื่อเทียบกับการตัดลดงบประมาณในส่วนอื่นของรัฐบาลกลาง ต้นทุนดำเนินงานของโปรแกรม CVE นั้นเล็กและไม่ถึงระดับที่จะ “ทำให้การคลังพัง”

ทางเลือกภาคเอกชนและการรับมือชั่วคราว

  • หากไม่มีการต่อสัญญา ตั้งแต่เที่ยงคืนวันที่ 16 เมษายน 2025 MITRE จะไม่เพิ่มระเบียนใหม่ลงในฐานข้อมูล CVE
  • ระเบียน CVE เดิมมีกำหนดจะให้บริการบน GitHub
  • Patrick Garrity จาก VulnCheck มองว่า หลังความล้มเหลวของ NIST NVD ในปีก่อน ระบบนิเวศช่องโหว่ก็เปราะบางลง และผลกระทบต่อโปรแกรม CVE อาจเป็นผลเสียต่อฝ่ายป้องกันและชุมชนความปลอดภัย
  • VulnCheck ได้จอง CVE ปี 2025 จำนวน 1,000 รายการ ไว้ล่วงหน้า ในสถานการณ์ที่ยังไม่แน่ชัดว่าบริการใดของ MITRE หรือโปรแกรม CVE จะได้รับผลกระทบ
  • CISA ระบุว่า CVE ถูกใช้โดยรัฐบาลและภาคอุตสาหกรรมในการเปิดเผย จัดประเภท และแบ่งปันช่องโหว่ทางเทคโนโลยี และยังเกี่ยวข้องกับข้อมูลช่องโหว่ที่อาจทำให้โครงสร้างพื้นฐานสำคัญของชาติตกอยู่ในความเสี่ยง

1 ความคิดเห็น

 
GN⁺ 2025-04-17
ความเห็นจาก Hacker News
  • มีเธรดที่กำลังคุยกันเกี่ยวกับเรื่องนี้อยู่: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • สัญญาได้ถูกต่ออายุกับ MITRE แล้ว: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    คงน่าจะเป็นการต่ออายุแบบไม่มีกำหนด DOGE อาจเป็นแหล่งรวมคนโง่ แต่ใน DOD ทั้งหมดก็ยังมีคนที่ไม่โง่อยู่ด้วย

    • ผมเดาว่าปีหน้าคงค่อย ๆ ถอนตัวออกไป เป้าหมายระยะยาวดูเหมือนจะเป็นการเปลี่ยน โปรแกรม CVE ให้มีรูปแบบใกล้เคียงกับคอนซอร์เทียมที่นำโดยอุตสาหกรรม
      ไม่รู้ว่าสังเกตไหม แต่พวกเขาใช้วิธีจัดงบประมาณแบบ zero-based คือหั่นทุกอย่างก่อน แล้วค่อยเอาเฉพาะสิ่งที่สำคัญจริง ๆ กลับมา เป็นแนวทางตัดก่อนแล้วค่อยถามทีหลัง
      อีกประเด็นสำคัญคือ MITRE เป็นผู้รับเหมาของ DoD การที่โปรแกรม CVE อยู่ในมือของบริษัทที่ได้รับเงินทุนจากกองทัพสหรัฐฯ อาจก่อให้เกิดความกังวลเรื่อง ผลประโยชน์ทับซ้อน ในระบบนิเวศที่ต้องพึ่งพาความเป็นกลางและความเชื่อมั่นระดับโลก
    • มักจะลำบากใจเสมอว่าจะจัดการกับเธรดที่อิงจากบทความซึ่งถูกเหตุการณ์ต่อมาทดแทนไปแล้วอย่างไรดี ควรเปิดเธรดใหม่ด้วยบทความใหม่หรือไม่ แต่ก็เพิ่งมีการถกเถียงใหญ่ไป และข่าวว่า “แก้แล้ว” มักดูน่าสนใจน้อยกว่าแรงกระตุ้นเดิม จึงมักไม่ค่อยโผล่ขึ้นมา
      ช่วงนี้กำลังลองใช้วิธีเติม [fixed] ไว้ท้ายชื่อเรื่องเดิม เพื่อแจ้งให้ผู้อ่านรู้ว่าสถานะเปลี่ยนไปแล้ว ไม่แน่ใจว่าเป็นวิธีที่ดีที่สุดไหม และก็ไม่แน่ใจด้วยว่าสถานการณ์ได้รับการแก้ไขจริงหรือไม่ แต่ก็ดูดีกว่าไม่ทำอะไรเลย การเปลี่ยนบทความและชื่อเรื่องของเธรดเดิมอาจให้ความรู้สึกเหมือนหักหลังกันเกินไป
    • ดูเหมือนว่ายังไม่ขึ้นใน FPDS: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      สัญญาหมดอายุวันนี้ แต่มี ช่วงออปชัน จนถึงมีนาคม 2026 และ DHS แค่ต้องใช้สิทธิ์ออปชันนั้นเท่านั้น
      แก้ไข: วันสิ้นสุดสัญญาคือวันนี้ 16 เมษายน ดังนั้นถ้าไม่ได้ใช้สิทธิ์ออปชัน งานก็คงหยุดตอนเที่ยงคืนวันนี้ สัญญาภาครัฐมักลากไปถึงนาทีสุดท้ายแบบนี้เป็นเรื่องปกติ และการใช้สิทธิ์ออปชันล่าช้าก็เกิดขึ้นบ่อย แล้วทำไมกรณีนี้ถึงกลายเป็นเรื่องใหญ่ขนาดนี้? CISA ส่งสัญญาณให้ MITRE หรือเปล่าว่าจะไม่ใช้สิทธิ์ออปชัน?
    • ในบทความบอกว่า “ยังไม่ชัดเจนว่าทำไม DHS จึงตัดสินใจยุติสัญญาหลังจาก 25 ปี” แต่จู่ ๆ ก็ถูกต่ออายุ ไม่รู้ว่านี่เกี่ยวอะไรกับ DOGE
  • หวังว่าเรื่องแบบนี้จะไม่เกิดขึ้น สงสัยว่า โครงสร้างแบบไซโล บางอย่างภายใน DHS ทำให้พวกเขามองไม่เห็นว่าข้อเสียมันใหญ่พอหรือเปล่า
    ไม่น่าจะมีผู้เชี่ยวชาญในสาขานี้คนไหนยืนกรานแรง ๆ ว่า “ฆ่าทิ้งได้ ไม่จำเป็น” ถ้าถามจริง ๆ ก็คงพูดแรง ๆ ว่า “ได้โปรดอย่าแตะต้องมัน เราต้องใช้สิ่งนี้”
    แต่ก็มีความเป็นไปได้ว่าผู้บริหารฝ่ายการเงินระดับสูงกำลัง “สืบค้นเอง” แล้วเข้าใจผิดว่าคนอื่นใช้ CVE อย่างไรและใครเป็นผู้ให้ทุน

    • นี่ไม่ใช่การตัดสินใจอย่างรอบคอบบนพื้นฐานการวิเคราะห์ต้นทุน-ผลประโยชน์ แต่เป็น คำสั่งทางการเมือง ที่สอดคล้องกับนโยบายของรัฐบาลชุดปัจจุบันที่ว่า “ตัดทุกอย่างอย่างบุ่มบ่ามและไม่เลือกหน้า”
    • ตอนนี้เรากำลังอยู่ท่ามกลางรัฐประหาร บริษัทน่าขยะแขยงอย่าง Palantir จะได้เงิน มากกว่า 100 เท่า เพื่อทำเรื่องคล้าย ๆ กัน
    • ดูเหมือนจะเป็นแนวประมาณ “เราจ่ายให้ MITRE เท่าไหร่นะ? แก๊ง Bigballs สร้างระบบที่ดีกว่าได้ใน 1 สัปดาห์แล้วเอาไปรวมกับ xAI ได้แน่ มันจะยากอะไร? ส่งร่างสัญญา xAI ให้เจ้าหน้าที่ DHS ไป”
    • National Vulnerability Database ตามกระแส CVE ไม่ทันมานานกว่าหนึ่งปีแล้ว:
      https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
      https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
      https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
      และยังมีอีกมากมาย นี่เป็นหายนะเต็มรูปแบบมาหลายเดือนแล้ว และ ณ จุดนี้ก็อาจเป็นไปได้ว่าพวกเขาคิดจะเปลี่ยนแนวทางอย่างรุนแรง
    • เรื่องนี้ถูกพวกวัย 20 ใน DOGE ปั่นหัว ถ้า DOGE เข้าไปใน NSA และ NRO ผมสงสัยว่าจะขโมยข้อมูลอะไรไปใส่ฮาร์ดดิสก์ของตัวเองบ้าง
      ทั้งหมดนี้คือ การกระทำทางอาญา ของรัฐบาลชุดปัจจุบัน
  • กลุ่มสมาชิกคณะกรรมการ CVE ได้เปิดตัว CVE Foundation ใหม่ “เพื่อรับประกันความอยู่รอดในระยะยาว เสถียรภาพ และความเป็นอิสระของ Common Vulnerabilities and Exposures(CVE) Program”
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • คอนซอร์เทียมแบบนี้ต้องหลีกเลี่ยงอย่างชัดเจนไม่ให้ถูกครอบงำทั้งจากฝั่งผู้จำหน่ายผลิตภัณฑ์และบริษัทความปลอดภัย
      ผู้จำหน่ายผลิตภัณฑ์มีแรงจูงใจที่จะบิดกระบวนการออก CVE ให้เข้ากับ กำหนดการแก้ไข ของตนเอง ส่วนบริษัทความปลอดภัยก็มีแรงจูงใจที่จะได้เข้าถึงฐานข้อมูล CVE ก่อนเพื่อให้ได้เปรียบในการแข่งขัน
      ไม่ใช่ว่าองค์กรที่ดำเนินงานด้วยเงินทุนเชิงพาณิชย์จะหลีกเลี่ยงการถูกครอบงำแบบนี้ไม่ได้ แต่ก็ไม่ง่าย ความสัมพันธ์ระหว่าง Mozilla Foundation กับ Google ผุดขึ้นมาในหัวทันที
    • ถ้ารัฐบาลตัดงบ แปลว่าจะทำงานนี้ ต่อฟรี อย่างนั้นหรือ?
    • เรื่องนี้มีกลิ่นเหมือนความพยายามเร่งด่วนที่จะเปิดทางให้ฟิชชิงช่องโหว่ มากกว่าจะเป็นความคืบหน้าจริง ๆ เป็นโพสต์จากคนที่ทำสตาร์ทอัปด้านความปลอดภัย และเว็บไซต์ก็เป็น Google site ที่ผู้คนสามารถรายงานต่อ Google ว่าเป็นการหลอกลวงได้
      แก้ไข: downvote ได้ตามสบาย ถ้อยคำอาจรุนแรงเกินไปจนทำให้ประเด็นพร่าไป สิ่งที่น่าสนใจคือผู้ที่ไม่ใช่ผู้เชี่ยวชาญด้านความปลอดภัยหลงเชื่อชื่อ คำอ้างอิง และอำนาจได้ง่ายเพียงใด
      ความไว้วางใจไม่ได้เกิดขึ้นชั่วข้ามคืน และจริง ๆ แล้วก็ไม่เคยเกิดขึ้นอย่างสมบูรณ์ ผู้เชี่ยวชาญด้านความปลอดภัยสารสนเทศคงไม่หลงเชื่อ การอ้อมผ่านซัพพลายเชน แบบนี้ที่อนาคตไม่แน่นอนได้ง่าย ๆ หวังว่าเราจะไม่ต้องทดสอบความคิดนี้ในเร็ว ๆ นี้ แต่ก็ยังต้องมีความน่าเชื่อถือและการทำอัตโนมัติระยะยาวในระดับหนึ่ง สิ่งที่จำเป็นคือระบบทางเทคนิคที่มีฉันทามติอย่างกว้างขวาง ไม่ใช่ “มูลนิธิ”
  • สิ่งที่แดกดันจริง ๆ คือผู้ก่อตั้ง Y Combinator จำนวนมากและผู้อ่าน HN นั่นแหละที่ทำให้เรื่องแบบนี้เกิดขึ้นได้ และตอนนี้กลับสงสัยว่าทำไมงูถึงกินหางตัวเอง

    • บางทีพวกเขาอาจต้องการแบบนี้ก็ได้ เพราะอาจเป็นส่วนหนึ่งของ การแปรรูป หน้าที่ของรัฐหลายอย่างให้เป็นเอกชน
      พวกเขา หรืออย่างน้อยบางส่วน อาจมองว่าสามารถยึดหน้าที่นี้มาทำเงินได้ เป็นกระแสรายได้ประจำ เป็นโมเดลสมาชิกที่มีมูลค่า และลูกค้าก็จำเป็นต้องใช้บริการนี้จริง ๆ ถ้าไม่จำเป็น ก็ออกกฎหมายใหม่บังคับให้สมัครภายใต้ข้ออ้างเรื่องความปลอดภัย IT ได้
    • เงินทุนที่ขาดอยู่ประมาณ 2 ล้านดอลลาร์ บริษัทอเมริกันบริษัทไหนก็ทำให้ปัญหานี้หายไปได้ในพริบตา
    • ถูกต้อง ขอให้ Y Combinator และผู้สนับสนุนของพวกเขาได้ใช้ชีวิตอย่างมีความสุขในแดนแฟนตาซี ancap
      โลกที่ NOAA ถูกยุบ และถ้าต้องการรับคำเตือนพายุเฮอริเคนมหึมาที่รุนแรงขึ้นจากการเปลี่ยนแปลงสภาพภูมิอากาศก็ต้องจ่ายเงิน ส่วนการเปลี่ยนแปลงสภาพภูมิอากาศนั้นก็เกิดจากความโลภแบบเดิมที่บุ่มบ่ามและไร้การกำกับดูแล มหาเศรษฐีพันล้านไม่ควรมีอยู่ และเศรษฐีเงินล้านก็เช่นกัน
  • การนำ CVE ไปใช้ ในปัจจุบันก็มีปัญหาใหญ่ไม่ใช่หรือ? โดยเฉพาะปัญหาที่ script kiddie และเครื่องมือ AI เติมสแปมลงฐานข้อมูล และโปรเจกต์ที่จริงจังกับความปลอดภัยแทบไม่มีสิทธิ์มีเสียงต่อ “คะแนน” ที่ถูกกำหนดให้

    • ในฐานะคนที่บริโภค CVE อย่างจริงจัง ใช่ มีปัญหาใหญ่ แต่ก็ไม่ได้มีอะไรที่ดีกว่า และก็ไม่มีไอเดียที่ดีกว่านี้
      คะแนนส่วนใหญ่ไร้ประโยชน์จนถ้าหายไปก็คงไม่แคร์ และเอาจริง ๆ ก็ไม่ได้ดูด้วยซ้ำ แต่ก็ไม่ค่อยเข้าใจว่าทำไมผู้คนถึงโมโหคะแนนห่วย ๆ กันขนาดนั้น
      ถ้าคะแนน CVSS สูงสร้างงานจำนวนมาก แปลว่ากระบวนการจัดการช่องโหว่เสียแล้ว หรือไม่เช่นนั้นก็เป็นงานคอมพลายแอนซ์ ไม่ใช่งานความปลอดภัย ถ้าคุณเกลียดคอมพลายแอนซ์ คะแนน CVSS ก็ไม่ใช่ต้นตอของความเจ็บปวด
      รายการกลาง ที่รวบรวมสิ่งต่าง ๆ ที่คุณอาจใส่ใจหรือไม่ใส่ใจก็ได้ พร้อมติด ID ที่เสถียรให้” มีคุณค่ามาก
    • จู่ ๆ ก็มี ช่องโหว่ร้ายแรง คะแนน 9.8 โผล่มาแบบสุ่ม ทั้งที่ในสภาพแวดล้อมของผมผลกระทบเป็นศูนย์ก็ไม่สำคัญ CVE นั้นทำให้ Security Score ขององค์กรลดลง 10 คะแนนแบบตามอำเภอใจ และฝ่ายบริหารก็จะถามว่าเมื่อไรจะทำให้บริษัทกลับมาปลอดภัยอีกครั้ง เพราะ Security Score เป็นผลลัพธ์ที่จับต้องได้เพียงอย่างเดียวในการวัดความสำเร็จ
    • คะแนนนั้นไม่ได้ถูกตั้งใจให้แม่นยำขนาดนั้นในทุกสภาพแวดล้อมของแต่ละคนตั้งแต่แรกแล้ว ไม่รู้ว่าที่อื่นพึ่งพามันมากแค่ไหน แต่ที่ที่ผมเคยทำงานไม่ได้พึ่งพามากนัก
      ถึงอย่างนั้น ปัญหาเรื่องคะแนนก็ไม่ใช่เหตุผลที่ดีพอจะเผา ระบบ CVE ทั้งระบบทิ้ง
    • ผมไม่เคยเห็นใครรัน CVE scanner กับโค้ดของตัวเองแล้วไม่หมดแรงอย่างรวดเร็ว
    • แน่นอนว่าการนำ CVE ไปใช้ในปัจจุบันมีปัญหา ถ้าพาดหัวเป็น “DHS เสนอให้ปรับปรุงและทำให้โปรแกรม CVE กระชับขึ้น” ทุกคนคงปรบมือกันแล้ว
      การกระโดดจาก “สิ่งนี้มีข้อบกพร่อง” ไปเป็น “งั้นฆ่ามันทิ้ง” คือ ตรรกะวิบัติ ทะเบียนด้านความปลอดภัยที่มีข้อบกพร่องยังดีกว่าไม่มีทะเบียนด้านความปลอดภัยเลยอย่างชัดเจน
  • หากคุณเคยทำ การจัดการ CVE ในซอฟต์แวร์โอเพนซอร์ส ก็น่าจะรู้อยู่แล้วว่าการลดเงินทุนของ NVD ดำเนินมานานกว่าหนึ่งปีแล้ว
    เมษายน 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST ดูแล National Vulnerability Database (NVD) ซึ่งเป็นองค์ประกอบสำคัญของโครงสร้างพื้นฐานด้านความมั่นคงไซเบอร์ของประเทศ การเพิ่มขึ้นของซอฟต์แวร์และช่องโหว่ที่เพิ่มตามมา รวมถึงการเปลี่ยนแปลงด้านการสนับสนุนระหว่างหน่วยงาน ทำให้งานช่องโหว่ค้างสะสมมากขึ้น กำลังพิจารณาแนวทางแก้ปัญหาระยะยาวด้วย เช่น การจัดตั้งคอนซอร์เทียมขององค์กรจากภาคอุตสาหกรรม รัฐบาล และผู้มีส่วนได้ส่วนเสียอื่น ๆ ที่สามารถร่วมมือกันในการวิจัยเพื่อปรับปรุง NVD
    กันยายน 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “ความปลอดภัยและการจัดการช่องโหว่ในซอฟต์แวร์กำลังสำคัญขึ้นเรื่อย ๆ เหตุการณ์ล่าสุดส่งผลเสียต่อความสามารถของหลายโครงการในการระบุปัญหาและทำให้ปัญหาได้รับการแก้ไขอย่างทันท่วงที เรื่องนี้น่ากังวลอย่างมาก จนกระทั่งไม่นานมานี้ เรามักพึ่งพาข้อมูลของ NVD ที่เพิ่มข้อมูลเหล่านั้นเข้าไป มากกว่าข้อมูลจากโครงการ CVE เอง”
    เมื่อ 5 ปีก่อนในปี 2019 ผมเคยช่วยเตรียมการนำเสนอของ CERT Director แห่ง Carnegie Mellon และตอนนั้นก็พูดถึงงาน CVE ที่ค้างสะสมและการขาดทรัพยากรเช่นกัน ช่องโหว่ที่ถูกรายงานจำนวนมากไม่ได้รับแม้แต่หมายเลข CVE ด้วยซ้ำ หลังจากนั้นคิวก็ยาวขึ้น เงินทุนลดลง แต่ยอดเข้าชมเฉลี่ยต่อปีกลับต่ำกว่า 100 ครั้ง: https://www.youtube.com/watch?v=WmC65VrnBPI

    • ข้อความนี้ไม่เป็นประโยชน์และทำให้สับสน หาก การหยุดเงินทุน อย่างกะทันหันที่เกิดขึ้นวันนี้เป็นคนละเรื่องกับการตัดลดงบประมาณก่อนหน้านี้ ก็ควรแก้ให้ชัดเจน หรือครั้งหน้าก็เขียนให้ชัดแบบนั้น
    • อยากรู้ว่า “ดำเนินมานานกว่าหนึ่งปี” หมายถึงอะไรกันแน่
      ดูเหมือนว่าเงินทุนเพิ่งถูกตัดวันนี้ และข้อความอ้างอิงทั้งสองก็ดูเหมือนพูดว่ายังทำงานต่ออยู่และงานนั้นสำคัญ
      หมายความว่ามีภัยคุกคามบางรูปแบบต่อ NVD มานานกว่าหนึ่งปีแล้วหรือ? แค่อยากแน่ใจว่าผมเข้าใจถูก
    • ในบทความนั้นไม่มีตรงไหนพูดถึง การตัดลดเงินทุน
      บทความนั้นพูดว่าปริมาณช่องโหว่ของซอฟต์แวร์เพิ่มขึ้นจนโครงการ CVE และ NVD ตามไม่ทัน
      อยากให้เลิกโปรยสปินทางการเมืองใส่เธรดนี้ต่อไปได้แล้ว
    • เห็นข้อความแนวนี้ในทุกโพสต์บน HN ที่อาจถูกตีความในแง่ลบต่อรัฐบาลชุดปัจจุบัน มักเป็นคำกล่าวอ้างเท็จที่คลุมเครือ ตามด้วยคำอธิบายที่ไม่ตรงกับข้อเท็จจริง หรืออ้างอิงที่ไม่ได้สนับสนุนคำกล่าวอ้างนั้น
  • ทำให้อดสงสัยไม่ได้ว่า ในบรรดาสิ่งที่สำคัญต่อสังคมแต่คนส่วนใหญ่ไม่รู้ด้วยซ้ำว่ามีอยู่ มีอะไรอีกบ้างที่หายไปอย่างเงียบ ๆ ในช่วงไม่กี่สัปดาห์ที่ผ่านมา
    เรารู้เรื่องนี้เพราะเรารู้ว่ามันสำคัญ แล้วสิ่งที่เราไม่รู้ล่ะมีอะไรบ้าง?

    • คนที่เชียร์อยู่ไม่สนใจหรอก ความมั่นคงสัมพัทธ์และคุณภาพชีวิตของชาวอเมริกันถูกค้ำจุนด้วย สถาบัน ต่าง ๆ ที่พวกเขาแทบไม่เข้าใจ หรือไม่เคยได้ยินชื่อด้วยซ้ำ บางทีอาจต้องปล่อยให้พวกเขาเอามือไปแตะเตาร้อนด้วยตัวเอง
    • มีบางอย่างระบุไว้ที่ https://www.project2025.observer/ แน่นอนว่านั่นมีแค่หน่วยงานที่ฝ่าย Trump รู้จักและตั้งใจจะทำลายอย่างชัดเจนเท่านั้น แต่ก็เป็นจุดเริ่มต้นได้
  • แม้จะพยายามตีความอย่างดีที่สุดเท่าที่จะทำได้ ก็ยังนึก เหตุผลที่ไม่ใช่เจตนาร้าย เพื่อทำให้เรื่องนี้ชอบธรรมไม่ออกจริง ๆ

    • ผมมองว่าเป็นความไม่รู้และความหยิ่งยโส สหรัฐฯ ดูเหมือนกำลังเดินไปสู่การสูญเสียความเป็นผู้นำด้านเทคโนโลยีและวิทยาศาสตร์
      ผู้นำปัจจุบันดูเหมือนไม่เข้าใจสิ่งที่ไม่หวือหวา สงสัยว่าเมื่อไรจะถอยหลังเรื่องความปลอดภัยของอาหาร ถ้าเป็น RFK คงรู้จักวิตามินสักสองสามตัวที่ช่วยกันซัลโมเนลลาได้
    • โง่อย่างเหลือเชื่อ ไม่ว่าเหตุผลสนับสนุนจะเป็นอะไร มันไม่สำคัญเท่าผลลัพธ์อันเลวร้าย
      นี่เป็นหนึ่งในงานที่รัฐบาลทำเพื่อ ประโยชน์สาธารณะ
    • เป็นโศกนาฏกรรมของทรัพยากรร่วม NVD และโครงการ CVE เผชิญปัญหางานค้างและเงินทุนมาหลายปีแล้ว และบริษัทความปลอดภัยส่วนใหญ่ก็ไม่ค่อยกระตือรือร้นที่จะให้ข้อมูลช่องโหว่อย่างทันท่วงที เพราะอาจลดความได้เปรียบเชิงเปรียบเทียบของตัวเอง
      หรือไม่ก็พยายามขาย คะแนนจัดลำดับความเสี่ยง ทางเลือกของตัวเอง ทุกบริษัทเต็มใจใช้ข้อมูล NVD และ CVE แต่ไม่อยากจ่ายเงินอุดหนุนที่ช่วยคู่แข่ง โดยเฉพาะในอุตสาหกรรมที่แข่งขันดุเดือดอย่างความมั่นคงไซเบอร์
    • เหตุผลอาจเป็นการลดรายจ่ายของรัฐบาลก็ได้ ในความเห็นผม มันดูไม่เหมือนองค์กรของรัฐบาลจริง ๆ ดังนั้นองค์กรอื่น ๆ ก็อาจให้เงินทุนได้เหมือนกัน ผมก็สงสัยเหมือนกันว่าองค์กรนี้ใช้เงินปีละเท่าไร
      MITRE Corporation ทำงานอื่นอีกมาก และดูเหมือนมีรายได้ต่อปี 2.2 พันล้านดอลลาร์
      บริษัทมูลค่าหลายล้านล้านดอลลาร์ได้รับประโยชน์จากระบบนี้และก็มีส่วนร่วมอยู่แล้ว พวกเขาจ่ายสักราว 0.01% ของรายได้ให้โครงสร้างพื้นฐานสำคัญชิ้นเล็ก ๆ นี้ไม่ได้หรือ?
    • ส่วนตัวแล้วนี่เป็นประเด็นที่ขัดใจผมอยู่บ้าง และนั่นทำให้ผมคิดว่า steelmanning ให้ผลย้อนกลับ
      steelmanning เป็นคำใหม่ที่ไม่มีประโยชน์นอกจากเป็นสัญญาณภายในกลุ่ม สำหรับแนวคิดเดียวกันนี้ เรามีคำที่ดีพออยู่แล้ว คือ “charitability” ซึ่งละเอียดอ่อนกว่าและมีประวัติยาวนานกว่า
      ความแตกต่างใหญ่คือ charitability เป็นเรื่องของการเคารพอีกฝ่าย ส่วน Steelmanning ค่อนข้างเหมือนการใช้ปัญญาของตัวเองทำให้ข้อโต้แย้งของอีกฝ่ายดีขึ้นกว่าที่เจ้าตัวทำได้
      charitability ตั้งอยู่บนแนวคิดเรื่องความเคารพซึ่งกันและกัน ดังนั้นถ้าเห็นชัดว่ามีคนไม่เคารพเราเลยแม้แต่น้อย ก็ถามได้ว่าทำไมเราต้องมองเขาด้วยเจตนาดี Steelmanning พยายามแยกคนออกจากข้อโต้แย้ง และในทางประชดประชัน มันทั้งหยิ่งและไร้เดียงสา
  • สาเหตุรากฐาน: ความขัดข้องที่เลเยอร์ 8
    https://www.computerhope.com/jargon/l/layer8.htm