มูลนิธิ CVE

 (thecvefoundation.org)
1 คะแนน โดย GN⁺ 2025-04-17 | 1 ความคิดเห็น | แชร์ทาง WhatsApp
  • มีการก่อตั้ง CVE Foundation เพื่อรับประกันความยั่งยืนและความเป็นอิสระของ CVE Program ในระยะยาว
  • CVE Program ทำหน้าที่เป็นเสาหลักสำคัญของโครงสร้างพื้นฐานด้านความมั่นคงปลอดภัยไซเบอร์ระดับโลกมาตลอด 25 ปี
  • การสิ้นสุดสัญญากับรัฐบาลสหรัฐฯ ทำให้ความจำเป็นในการดำเนินงาน CVE Program อย่างเป็นอิสระชัดเจนยิ่งขึ้น
  • CVE Foundation ในฐานะองค์กรไม่แสวงหากำไรมีแผนจะให้บริการการระบุช่องโหว่คุณภาพสูงอย่างต่อเนื่อง
  • นี่เป็นโอกาสสำคัญสำหรับชุมชนความมั่นคงปลอดภัยไซเบอร์นานาชาติ

ที่มาของการก่อตั้ง CVE Foundation

  • มีการก่อตั้ง CVE Foundation อย่างเป็นทางการ เพื่อวางรากฐานสำหรับการรับประกันความยั่งยืนและความเป็นอิสระของ CVE Program ในระยะยาว
  • CVE Program ดำเนินงานด้วยเงินสนับสนุนจากรัฐบาลสหรัฐฯ แต่ได้เกิดความกังวลต่อโครงสร้างที่พึ่งพาผู้สนับสนุนจากรัฐบาลเพียงรายเดียว

ความสำคัญของ CVE Program

  • CVE เป็นองค์ประกอบหลักของระบบนิเวศความมั่นคงปลอดภัยไซเบอร์ระดับโลก และเป็นทรัพยากรสำคัญที่ผู้เชี่ยวชาญด้านความปลอดภัยใช้งานอยู่เป็นประจำ
  • ตัวระบุและข้อมูลของ CVE เป็นสิ่งจำเป็นต่อเครื่องมือด้านความปลอดภัย คำแนะนำ ข่าวกรองภัยคุกคาม และการตอบสนอง

บทบาทของ CVE Foundation

  • CVE Foundation ช่วยขจัดจุดล้มเหลวเพียงจุดเดียวในระบบนิเวศการจัดการช่องโหว่ และรับประกันว่า CVE Program จะยังคงเป็นโครงการริเริ่มที่ขับเคลื่อนโดยชุมชนซึ่งได้รับความไว้วางใจในระดับโลก
  • มอบโอกาสในการจัดตั้งธรรมาภิบาลที่เหมาะสมกับชุมชนความมั่นคงปลอดภัยไซเบอร์นานาชาติ

แผนในอนาคต

  • CVE Foundation จะเผยแพร่ข้อมูลเกี่ยวกับโครงสร้าง แผนการเปลี่ยนผ่าน และโอกาสในการมีส่วนร่วมของชุมชน
  • หากต้องการข้อมูลเพิ่มเติมหรือมีข้อสงสัย สามารถติดต่อได้ที่ info@thecvefoundation.org

บทความที่เกี่ยวข้อง

1 ความคิดเห็น

 
GN⁺ 2025-04-17
ความคิดเห็นจาก Hacker News
  • แชร์ลิงก์ไปยังโพสต์บน LinkedIn ของสมาชิกบอร์ด CVE พร้อมระบุว่าน่าจะหาข้อมูลที่เกี่ยวข้องได้จากข้อมูลติดต่อของสมาชิกบอร์ดคนอื่น ๆ และบนแพลตฟอร์มกระจายเสียงด้วย
  • เพิ่มข้อแก้ไขว่ามีการต่อสัญญาในนาทีสุดท้าย
  • คิดว่าถึงเวลาที่บริษัทหลัก ๆ ในอุตสาหกรรมซอฟต์แวร์ควรออกมาดำเนินการผ่านคอนซอร์เทียมอย่างเป็นทางการ
    • โมเดลนี้สมเหตุสมผลเพราะพวกเขาเป็นผู้ได้รับประโยชน์มากที่สุด
    • บริษัทเทคขนาดใหญ่ปกป้องผลิตภัณฑ์ของตนผ่าน CVE
    • พวกเขามีรายได้มหาศาลและมีทีมความปลอดภัยเฉพาะทาง จึงสามารถสนับสนุนการดำเนินงานของ CVE ได้อย่างง่ายดาย
    • แนวทางแบบคอนซอร์เทียมช่วยแบ่งความรับผิดชอบได้อย่างเป็นธรรม
    • ความปลอดภัยเป็นปัญหาของทุกคน
  • แชร์ลิงก์ไปยังเธรดที่กำลังดำเนินอยู่ที่เกี่ยวข้อง
  • เนื่องจากเป็นประเด็นด้านความปลอดภัย จึงควรสมมติสถานการณ์ที่เลวร้ายที่สุด และควรถือว่ายังไม่ชอบด้วยกฎหมายจนกว่า MITRE จะยืนยันการเข้าซื้อกิจการ
  • สงสัยว่างบประมาณของ MITRE เป็นเท่าไร และแม้เงินทุนสนับสนุนจาก CISA สำหรับโครงการ CVE จะไม่ได้แยกให้ชัดเจน แต่เคยเห็นว่ามีมูลค่าหลายสิบล้านดอลลาร์ต่อปี
  • ตั้งแต่เปลี่ยนจากงานดูแลระบบไปสู่งานพัฒนาซอฟต์แวร์ ก็ไม่ได้ติดตามช่องโหว่ความปลอดภัยอย่างใกล้ชิดอีกต่อไป ทุกวันนี้จึงอ่านข่าวเกี่ยวกับช่องโหว่ที่เป็นประเด็นใหญ่
    • เห็น CVE บ่อยกว่า cert
    • สงสัยว่าความแตกต่างและความสัมพันธ์ของ cert คืออะไร
  • คิดว่าถ้าสถานการณ์นี้คงอยู่ต่อไป ก็ถือว่าเป็นผลลัพธ์ที่ดีกว่าเดิม
  • ในข่าวประชาสัมพันธ์แทบไม่มีข้อมูลเลยจึงมีคอมเมนต์เชิงลบมากมาย แต่มีเหตุผลให้เชื่อว่าถูกต้องตามกฎหมาย จึงสนับสนุนเรื่องนี้
  • หวังว่าสถานการณ์นี้จะชอบด้วยกฎหมาย
    • แม้จะบอกว่ากำลังตอบสนองต่อประกาศและวางแผนมาเป็นเวลา 1 ปี แต่ก็สงสัยว่าถ้าช่วงท้ายมีการวางแผนอย่างจริงจัง ก็น่าจะประกาศให้เร็วกว่านี้
    • คิดว่ามีความเป็นไปได้ที่ความพยายามจะกระจัดกระจาย
    • คงจะดีถ้าทุกคนสนับสนุนโซลูชันเดียวกัน แต่ยังไม่มั่นใจว่านี่คือโซลูชันนั้นหรือไม่
    • องค์กรไม่แสวงหากำไรที่ตั้งอยู่ในสหรัฐฯ อาจไม่ใช่ทางออกที่ดีที่สุด