สัญญา DHS ไม่ได้รับการต่ออายุ เสี่ยงทำให้โครงการ CVE ยุติก่อนกำหนด

 (csoonline.com)
2 คะแนน โดย GN⁺ 2025-04-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • โครงการ CVE ของ MITRE เป็นองค์ประกอบหลักของความมั่นคงปลอดภัยไซเบอร์ และมีบทบาทสำคัญในการระบุและจัดการช่องโหว่ด้านความปลอดภัย
  • CISA ได้ขยายสัญญากับ MITRE เพื่อป้องกันไม่ให้โครงการ CVE หยุดชะงัก
  • การขยายสัญญาจะมีผลเป็นเวลา 11 เดือน และได้รับการสนับสนุนจากชุมชนไซเบอร์ทั่วโลก
  • การสิ้นสุดสัญญาอาจส่งผลกระทบอย่างมากต่อ ระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ และอาจทำให้ต้องมีโซลูชันทดแทน
  • ภาคเอกชนอย่าง VulnCheck กำลังพยายามเข้ามาอุดช่องว่างหากโครงการ CVE สะดุดลง

วิกฤตการสิ้นสุดสัญญาระหว่าง DHS และ MITRE

  • โครงการ CVE ของ MITRE เป็นฐานข้อมูลด้านความมั่นคงปลอดภัยไซเบอร์สำคัญที่ดำเนินต่อเนื่องมา 25 ปี
  • หลังจาก DHS ไม่ต่ออายุสัญญา โครงการจึงเผชิญความเสี่ยงที่จะต้องหยุดดำเนินการ
  • CISA ได้ช่วยป้องกันการหยุดชะงักของโครงการผ่านการขยายสัญญา

ความสำคัญของโครงการ CVE

  • โครงการ CVE เป็นรากฐานของ ระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ระดับโลก และจำเป็นอย่างยิ่งต่อการระบุและจัดการช่องโหว่ด้านความปลอดภัย
  • แม้ NIST และ CISA จะให้ข้อมูลเพิ่มเติม แต่ MITRE คือแหล่งหลักของระเบียน CVE
  • หากโครงการหยุดลง อาจส่งผลกระทบอย่างมากต่อการบริหารจัดการความปลอดภัยทั่วโลก

เบื้องหลังการสิ้นสุดสัญญา

  • เหตุผลที่ DHS ตัดสินใจยุติสัญญายังไม่ชัดเจน
  • คาดว่าการตัดลดงบประมาณของรัฐบาลเป็นสาเหตุหลัก
  • ค่าใช้จ่ายในการดำเนินโครงการ CVE นับว่าค่อนข้างต่ำ

แนวโน้มในอนาคต

  • MITRE จะไม่เพิ่มระเบียน CVE ใหม่ตั้งแต่วันที่ 16 เมษายน
  • ระเบียนเดิมจะยังคงเผยแพร่ต่อไปบน GitHub
  • ภาคเอกชนอาจเข้ามาเสนอทางเลือกทดแทนได้

ข่าวที่เกี่ยวข้อง

  • ผู้เชี่ยวชาญมองว่าการสนับสนุนเงินทุนให้ MITRE ยังไม่แน่นอน
  • มัลแวร์ ResolverRAT ตัวใหม่พุ่งเป้าไปที่องค์กรด้านการแพทย์และเภสัชกรรมทั่วโลก
  • ข่าวอัปเดตแพตช์ล่าสุดเกี่ยวกับช่องโหว่ของ Windows และ แอป SAP

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-04-17
ความเห็นจาก Hacker News
  • กำลังมีการหารือเกี่ยวกับ CVE Foundation
  • สัญญากับ MITRE ได้รับการต่ออายุแล้ว
  • สมาชิกคณะกรรมการ CVE กำลังจัดตั้ง CVE Foundation แห่งใหม่เพื่อรับประกันเสถียรภาพระยะยาวและความเป็นอิสระของโครงการ CVE
  • ดูเหมือนว่าการแบ่งแยกกันระหว่างหน่วยงานภายใน DHS ทำให้ไม่ตระหนักถึงด้านลบของปัญหานี้อย่างเพียงพอ
  • ดูเหมือนว่าฝ่ายการเงินระดับสูงที่ไม่ตระหนักถึงความสำคัญของโครงการ CVE ได้ตัดสินใจผิดพลาด
  • ผู้ก่อตั้ง ycombinator และผู้อ่าน Hacker News จำนวนมากมีส่วนทำให้เกิดปัญหานี้ และตอนนี้กำลังตั้งคำถามกับผลลัพธ์ที่ตามมา
  • ทำให้นึกถึงความเป็นไปได้ที่สิ่งสำคัญอื่น ๆ ต่อสังคมอาจค่อย ๆ หายไปอย่างเงียบ ๆ ในช่วงไม่กี่สัปดาห์ที่ผ่านมา
  • ปัจจุบันการใช้งาน CVE มีปัญหาสำคัญอยู่ โดยเฉพาะการที่ script kiddie และเครื่องมือ AI ถล่มฐานข้อมูลด้วยสแปม และโครงการที่ให้ความสำคัญกับความปลอดภัยกลับแทบไม่มีผลต่อคะแนนเลย
  • ผู้ที่ดูแลการจัดการ CVE ในซอฟต์แวร์ OSS ทราบกันอยู่แล้วว่าการตัดงบ NVD ดำเนินมานานกว่าหนึ่งปี
  • NIST เป็นผู้ดูแล National Vulnerability Database (NVD) ซึ่งเป็นองค์ประกอบหลักของโครงสร้างพื้นฐานด้านความมั่นคงไซเบอร์ของประเทศ
  • จำนวนช่องโหว่เพิ่มขึ้นตามการเพิ่มขึ้นของซอฟต์แวร์ และการเปลี่ยนแปลงด้านการสนับสนุนระหว่างหน่วยงานทำให้การจัดการช่องโหว่ยากขึ้น
  • กำลังพิจารณาการจัดตั้ง consortium ของภาคอุตสาหกรรม ภาครัฐ และองค์กรผู้มีส่วนได้ส่วนเสียอื่น ๆ เป็นทางออกระยะยาว
  • Yocto Project ได้ส่งจดหมายเปิดผนึกถึง CVE Project และ CNA โดยแสดงความกังวลว่าเหตุการณ์ล่าสุดส่งผลกระทบในทางลบต่อการระบุและแก้ไขช่องโหว่ของโครงการ
  • เมื่อ 5 ปีก่อน ผู้อำนวยการ CERT ของ Carnegie Mellon ได้เปิดเผยปัญหา CVE backlog และการขาดแคลนทรัพยากร โดยมีช่องโหว่ที่ถูกรายงานจำนวนมากไม่ได้รับหมายเลข CVE
  • สัญญาล่าสุดสำหรับการมีส่วนร่วมของ MITRE ในโครงการ CVE และ CWE ครอบคลุมช่วง 17 เมษายน 2024 ถึง 16 เมษายน 2025 มูลค่า USD$29.1m และอาจขยายได้สูงสุดถึง USD$57.8m
  • การตัดสินใจว่าจะต่อสัญญาสำหรับช่วง 16 เมษายน 2025 ถึง 16 เมษายน 2026 หรือไม่ ยังไม่มีข้อสรุป และยังไม่มีแนวทางสาธารณะเกี่ยวกับสัญญาทดแทน