1 คะแนน โดย GN⁺ 2025-04-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • CVE Foundation ต้องการสร้างชุมชนระดับโลกที่น่าเชื่อถือและมั่นคง เพื่อรองรับการดำเนินงานระยะยาวของ CVE Program
  • ความท้าทายที่ใหญ่ที่สุดคือการย้าย CVE Program ไปสู่โมเดลเงินทุนที่หลากหลายและมั่นคง โดยไม่พึ่งพา กระแสเงินทุนแหล่งเดียว
  • เพื่อเพิ่มความเชื่อมั่นในกระบวนการระบุช่องโหว่ จึงใช้ การมีส่วนร่วม ความร่วมมือของชุมชนนานาชาติ และความโปร่งใสเป็นกลไกหลัก
  • มูลนิธิสนับสนุนให้การระบุช่องโหว่เป็นกระบวนการที่ง่ายขึ้นและได้รับความเชื่อถือมากขึ้นสำหรับทุกคน
  • ความต่อเนื่องของ CVE Program ขึ้นอยู่กับทั้งการทำให้โครงสร้างเงินทุนมั่นคงและการเสริมฐานความร่วมมือระดับโลก

การทำให้ฐานการดำเนินงานของ CVE Program มั่นคง

การเสริมความน่าเชื่อถือของการระบุช่องโหว่

1 ความคิดเห็น

 
GN⁺ 2025-04-17
ความคิดเห็นบน Hacker News
  • จากเนื้อหาที่แก้ไข ดูเหมือนว่า สัญญาถูกต่ออายุในนาทีสุดท้าย
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • มี แหล่งข้อมูลที่ไม่ใช่ Forbes ยืนยันเรื่องนี้ไหม?
  • สำหรับคอมเมนต์ที่สงสัยความชอบธรรม: มีโพสต์ LinkedIn ของหนึ่งใน สมาชิกคณะกรรมการ CVE อยู่ เขาเป็นคนแรกในรายชื่อนี้[0] จริง ๆ: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    ถ้าลองค้นหาช่องทางติดต่อหรือช่องทางสาธารณะของสมาชิกคณะกรรมการ CVE คนอื่น ๆ ก็น่าจะเจอรายละเอียดที่เกี่ยวข้องเพิ่มเติม
    [0]: https://www.cve.org/programorganization/board

  • เธรดที่กำลังดำเนินอยู่ซึ่งเกี่ยวข้อง:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • ตอนนี้ผมคิดว่าถึงเวลาแล้วที่ บริษัทที่ใหญ่ที่สุดในอุตสาหกรรมซอฟต์แวร์ จะออกมาจัดการในรูปแบบคล้ายคอนซอร์เทียมอย่างเป็นทางการ เพราะพวกเขาได้รับประโยชน์มากที่สุด โมเดลแบบนั้นจึงสมเหตุสมผล
    บริษัทเทคโนโลยีรายใหญ่พึ่งพา CVE เพื่อความปลอดภัยของผลิตภัณฑ์ตัวเอง และมีรายได้มหาศาลกับทีมรักษาความปลอดภัยเฉพาะทางอยู่แล้ว จึงสามารถออกค่าใช้จ่ายในการดำเนินงาน CVE ได้สบาย ๆ ถ้าใช้โมเดลคอนซอร์เทียม ความรับผิดชอบก็จะแบ่งกันอย่างเป็นธรรม เป็นการแชร์ทั้งความรับผิดชอบและผลประโยชน์ และความปลอดภัยก็เป็นปัญหาของทุกคน

    • ฮ่า ๆ จริง ๆ แล้ว CVE ถูกสร้างขึ้นเพราะอุตสาหกรรมปฏิเสธที่จะติดตามและรายงานช่องโหว่อย่างสม่ำเสมอและโปร่งใสตั้งแต่แรก ถ้าให้ทางเลือก บริษัทแทบจะเลือกทางที่ง่ายกว่าเสมอ และถ้าความรับผิดชอบจากภายนอกหายไป โปรแกรมจัดการช่องโหว่ อาจถอยหลังไปหลายสิบปี ไม่ใช่แค่ไม่กี่ปี
      โดยทั่วไปแล้ว ทนายความและ CTO น่าจะชอบให้ CVE หายไปหรือถูกส่งต่อให้อุตสาหกรรมดูแล ที่มา: ทำงานด้านความปลอดภัยมากว่า 20 ปี
    • ไหน ๆ บริษัทที่ใหญ่ที่สุดในอุตสาหกรรมซอฟต์แวร์จะออกหน้าแล้ว ก็อยากให้ บริษัทมูลค่า 1 ล้านล้านดอลลาร์ ของพวกคุณโยนเงินสัก 5 ดอลลาร์ให้กับนักพัฒนาที่ดูแลแพ็กเกจโอเพนซอร์สที่พวกคุณพึ่งพาด้วย
      หมายถึงแพ็กเกจที่ leetcoder 50,000 คนสร้างเองก็ไม่ได้ และถ้าไม่มีมันก็อยู่ไม่ได้ด้วยนั่นแหละ
    • เรื่องความปลอดภัย สิ่งที่ผมไม่มีวันไว้ใจเด็ดขาดคือ BigTech ของสหรัฐฯ ไม่ว่าจะเป็นคอนซอร์เทียมหรือไม่ ไอเดียนี้ก็ไม่มีทางไปได้
      สิ่งที่จำเป็นคือ เครือข่ายข้อมูลภัยคุกคามไซเบอร์ระดับนานาชาติ ที่มีการตรวจสอบ ถ่วงดุล และกำกับดูแลหลายชั้น ถ้าจะถามว่า “ใครจะเป็นคนจ่าย?” ก็ต้องถามด้วยว่า “ใครคือฝ่ายที่ได้กำไรจริง ๆ จากอุตสาหกรรมเทคโนโลยี?”
  • เพราะนี่เป็นประเด็นด้านความปลอดภัย จึงต้องตั้งสมมติฐานในทางเลวร้ายที่สุดไว้ก่อน จนกว่า MITRE จะยืนยันเรื่อง การส่งมอบงาน ก็ถือว่าชอบธรรมไม่ได้ และแม้จะยืนยันแล้ว ก็ยังมีพื้นที่ให้ตั้งคำถามได้มากพอ

  • ตลกดีที่ผู้คนเอาแต่บอกว่ารัฐบาลควร ‘move fast and break things’ แบบ Facebook แต่กลับละเลยไปว่า Facebook ตั้งใจจะใช้ เงิน 60,000–65,000 ล้านดอลลาร์ ในปีนี้เพื่อกระบวนการนั้น
    แต่พอเป็นกรณีรัฐบาลที่เคลื่อนไหวเร็วและทำของพัง somehow กลับมีเงื่อนไข ‘ต้นทุนขั้นต่ำ’ รวมอยู่ด้วย นึกถึงคำพูดที่ว่า “เร็ว ถูก ดี เลือกได้แค่สองอย่าง”

  • หลังจากย้ายจากงานดูแลระบบไปพัฒนาซอฟต์แวร์เมื่อหลายสิบปีก่อน ก็ไม่ได้ติดตามช่องโหว่ด้านความปลอดภัยอย่างจริงจังอีก ช่วงนี้ส่วนใหญ่อ่านข่าวเกี่ยวกับช่องโหว่ดัง ๆ และเห็น CVE บ่อยกว่า cert มาก
    เมื่อก่อนเคยดู cert: https://www.kb.cert.org/vuls/ ลองค้นเร็ว ๆ เมื่อกี้ก็เห็นว่ายังอยู่ ความแตกต่างหรือความสัมพันธ์ของทั้งสองคืออะไร?

    • ความแตกต่างที่ใหญ่ที่สุดคือ เมื่อวาน CVE ถูกปิดโดยรัฐบาลสหรัฐฯ แบบไม่แจ้งล่วงหน้า และโปรแกรมจะสิ้นสุดวันนี้
  • อยากรู้ว่างบประมาณของ MITRE อยู่ที่เท่าไร งบของโปรแกรม CVE ของ CISA ไม่ได้ถูกแยกประกาศต่อสาธารณะ แต่เท่าที่ผมเห็น มีคนบอกว่าอยู่ในระดับ หลายสิบล้านดอลลาร์ต่อปี
    แม้โปรแกรม CVE จะสำคัญ แต่ก็ดูมากเกินไป

    • ปีละ 40 ล้านดอลลาร์
  • ถ้าต้องการ ฐานข้อมูลแบบกระจายศูนย์ สำหรับข้อมูลแบบนี้ บางทีบล็อกเชนอาจเป็นการใช้งานที่เหมาะจริง ๆ ก็ได้
    จำเป็นต้องมีฉันทามติ ต้องเปลี่ยนย้อนหลังไม่ได้ และต้องกระจายตัว ผู้ใช้ที่ต้องการฐานข้อมูล CVE ก็รับสำเนาบัญชีแยกประเภทจาก BitTorrent หรือที่ไหนก็ได้ แล้วพาร์สข้อมูลทั้งหมดหรืออัปเดตเอา CVE ก็ไม่ได้มีอัปเดตเยอะมาก และยังไงทุกอย่างก็ต้องถูกติดตามถาวรอยู่แล้ว การอัปเดตสามารถทำได้ด้วยการเพิ่มรายการอีกหนึ่งรายการเข้าไปในเชน และผู้ไม่หวังดีก็แก้ไขตามใจได้ยาก

    • ไม่จำเป็นต้องมีฉันทามติ และไม่จำเป็นต้องเปลี่ยนย้อนหลังไม่ได้ด้วย นี่เป็นแค่ ข้อมูลเชิงคำแนะนำ เท่านั้น ต่อให้เจ้าของรายใดเซ็นเซอร์หรือบิดเบือนข้อมูล CVE ใน repository ของตัวเอง ก็แทบไม่ได้อะไรนอกจากทำให้ผู้ใช้รำคาญ
      แค่มีฐานข้อมูลกลางกับ mirror ก็เพียงพอแล้ว และที่ผ่านมาก็ใช้วิธีนั้นได้ดี สิ่งที่จำเป็นคือทำให้ข้อมูลนำไปใช้และแชร์ได้อย่างเสรี และถ้าเป็นไปได้ ให้องค์กรอื่น ๆ ช่วยจัดหมวดหมู่ช่องโหว่ซอฟต์แวร์ด้วย เพื่อให้มี ความซ้ำซ้อนและการจำลองข้อมูล ในระดับหนึ่ง
  • อยากให้เป็นเรื่องจริง แต่ข้อมูลจริงมีน้อยมาก พวกเขาพูดทั้งว่ากำลังตอบสนองต่อประกาศ และก็พูดว่าเตรียมการมาหนึ่งปีแล้ว
    ส่วนท้ายถ้าเป็นสิ่งที่เตรียมไว้อย่างรอบคอบจริง ๆ ก็น่าจะประกาศอะไรออกมาก่อนหน้านี้แล้ว จึงน่าสงสัย ที่นี่ดูมีโอกาสที่ความพยายามหลายทางจะแตกออกจากกัน คงดีถ้าทุกคนรวมตัวกันรอบแนวทางเดียว แต่ไม่รู้ว่านี่คือแนวทางนั้นหรือเปล่า องค์กรไม่แสวงหากำไรที่ตั้งอยู่ในสหรัฐฯ อาจไม่ใช่ทางออกที่ดีที่สุดก็ได้