มูลนิธิ CVE
(thecvefoundation.org)- CVE Foundation ต้องการสร้างชุมชนระดับโลกที่น่าเชื่อถือและมั่นคง เพื่อรองรับการดำเนินงานระยะยาวของ CVE Program
- ความท้าทายที่ใหญ่ที่สุดคือการย้าย CVE Program ไปสู่โมเดลเงินทุนที่หลากหลายและมั่นคง โดยไม่พึ่งพา กระแสเงินทุนแหล่งเดียว
- เพื่อเพิ่มความเชื่อมั่นในกระบวนการระบุช่องโหว่ จึงใช้ การมีส่วนร่วม ความร่วมมือของชุมชนนานาชาติ และความโปร่งใสเป็นกลไกหลัก
- มูลนิธิสนับสนุนให้การระบุช่องโหว่เป็นกระบวนการที่ง่ายขึ้นและได้รับความเชื่อถือมากขึ้นสำหรับทุกคน
- ความต่อเนื่องของ CVE Program ขึ้นอยู่กับทั้งการทำให้โครงสร้างเงินทุนมั่นคงและการเสริมฐานความร่วมมือระดับโลก
การทำให้ฐานการดำเนินงานของ CVE Program มั่นคง
- CVE Foundation มีเป้าหมายในการรับประกัน อนาคตที่มั่นคง ของ CVE Program
- จุดเน้นในปัจจุบันคือการสนับสนุนให้ CVE Program เปลี่ยนจากกระแสเงินทุนแหล่งเดียวไปสู่ โมเดลเงินทุนที่หลากหลายและมั่นคง
การเสริมความน่าเชื่อถือของการระบุช่องโหว่
- มูลนิธิใช้ การมีส่วนร่วม ความร่วมมือของชุมชนนานาชาติ และความโปร่งใส เพื่อทำให้การระบุช่องโหว่น่าเชื่อถือยิ่งขึ้น
- เป้าหมายคือช่วยให้การระบุช่องโหว่เป็น กระบวนการที่ง่ายขึ้นและได้รับความเชื่อถือมากขึ้นสำหรับทุกคน
1 ความคิดเห็น
ความคิดเห็นบน Hacker News
จากเนื้อหาที่แก้ไข ดูเหมือนว่า สัญญาถูกต่ออายุในนาทีสุดท้าย
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
สำหรับคอมเมนต์ที่สงสัยความชอบธรรม: มีโพสต์ LinkedIn ของหนึ่งใน สมาชิกคณะกรรมการ CVE อยู่ เขาเป็นคนแรกในรายชื่อนี้[0] จริง ๆ: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
ถ้าลองค้นหาช่องทางติดต่อหรือช่องทางสาธารณะของสมาชิกคณะกรรมการ CVE คนอื่น ๆ ก็น่าจะเจอรายละเอียดที่เกี่ยวข้องเพิ่มเติม
[0]: https://www.cve.org/programorganization/board
เธรดที่กำลังดำเนินอยู่ซึ่งเกี่ยวข้อง:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
ตอนนี้ผมคิดว่าถึงเวลาแล้วที่ บริษัทที่ใหญ่ที่สุดในอุตสาหกรรมซอฟต์แวร์ จะออกมาจัดการในรูปแบบคล้ายคอนซอร์เทียมอย่างเป็นทางการ เพราะพวกเขาได้รับประโยชน์มากที่สุด โมเดลแบบนั้นจึงสมเหตุสมผล
บริษัทเทคโนโลยีรายใหญ่พึ่งพา CVE เพื่อความปลอดภัยของผลิตภัณฑ์ตัวเอง และมีรายได้มหาศาลกับทีมรักษาความปลอดภัยเฉพาะทางอยู่แล้ว จึงสามารถออกค่าใช้จ่ายในการดำเนินงาน CVE ได้สบาย ๆ ถ้าใช้โมเดลคอนซอร์เทียม ความรับผิดชอบก็จะแบ่งกันอย่างเป็นธรรม เป็นการแชร์ทั้งความรับผิดชอบและผลประโยชน์ และความปลอดภัยก็เป็นปัญหาของทุกคน
โดยทั่วไปแล้ว ทนายความและ CTO น่าจะชอบให้ CVE หายไปหรือถูกส่งต่อให้อุตสาหกรรมดูแล ที่มา: ทำงานด้านความปลอดภัยมากว่า 20 ปี
หมายถึงแพ็กเกจที่ leetcoder 50,000 คนสร้างเองก็ไม่ได้ และถ้าไม่มีมันก็อยู่ไม่ได้ด้วยนั่นแหละ
สิ่งที่จำเป็นคือ เครือข่ายข้อมูลภัยคุกคามไซเบอร์ระดับนานาชาติ ที่มีการตรวจสอบ ถ่วงดุล และกำกับดูแลหลายชั้น ถ้าจะถามว่า “ใครจะเป็นคนจ่าย?” ก็ต้องถามด้วยว่า “ใครคือฝ่ายที่ได้กำไรจริง ๆ จากอุตสาหกรรมเทคโนโลยี?”
เพราะนี่เป็นประเด็นด้านความปลอดภัย จึงต้องตั้งสมมติฐานในทางเลวร้ายที่สุดไว้ก่อน จนกว่า MITRE จะยืนยันเรื่อง การส่งมอบงาน ก็ถือว่าชอบธรรมไม่ได้ และแม้จะยืนยันแล้ว ก็ยังมีพื้นที่ให้ตั้งคำถามได้มากพอ
ตลกดีที่ผู้คนเอาแต่บอกว่ารัฐบาลควร ‘move fast and break things’ แบบ Facebook แต่กลับละเลยไปว่า Facebook ตั้งใจจะใช้ เงิน 60,000–65,000 ล้านดอลลาร์ ในปีนี้เพื่อกระบวนการนั้น
แต่พอเป็นกรณีรัฐบาลที่เคลื่อนไหวเร็วและทำของพัง somehow กลับมีเงื่อนไข ‘ต้นทุนขั้นต่ำ’ รวมอยู่ด้วย นึกถึงคำพูดที่ว่า “เร็ว ถูก ดี เลือกได้แค่สองอย่าง”
หลังจากย้ายจากงานดูแลระบบไปพัฒนาซอฟต์แวร์เมื่อหลายสิบปีก่อน ก็ไม่ได้ติดตามช่องโหว่ด้านความปลอดภัยอย่างจริงจังอีก ช่วงนี้ส่วนใหญ่อ่านข่าวเกี่ยวกับช่องโหว่ดัง ๆ และเห็น CVE บ่อยกว่า cert มาก
เมื่อก่อนเคยดู cert: https://www.kb.cert.org/vuls/ ลองค้นเร็ว ๆ เมื่อกี้ก็เห็นว่ายังอยู่ ความแตกต่างหรือความสัมพันธ์ของทั้งสองคืออะไร?
อยากรู้ว่างบประมาณของ MITRE อยู่ที่เท่าไร งบของโปรแกรม CVE ของ CISA ไม่ได้ถูกแยกประกาศต่อสาธารณะ แต่เท่าที่ผมเห็น มีคนบอกว่าอยู่ในระดับ หลายสิบล้านดอลลาร์ต่อปี
แม้โปรแกรม CVE จะสำคัญ แต่ก็ดูมากเกินไป
ถ้าต้องการ ฐานข้อมูลแบบกระจายศูนย์ สำหรับข้อมูลแบบนี้ บางทีบล็อกเชนอาจเป็นการใช้งานที่เหมาะจริง ๆ ก็ได้
จำเป็นต้องมีฉันทามติ ต้องเปลี่ยนย้อนหลังไม่ได้ และต้องกระจายตัว ผู้ใช้ที่ต้องการฐานข้อมูล CVE ก็รับสำเนาบัญชีแยกประเภทจาก BitTorrent หรือที่ไหนก็ได้ แล้วพาร์สข้อมูลทั้งหมดหรืออัปเดตเอา CVE ก็ไม่ได้มีอัปเดตเยอะมาก และยังไงทุกอย่างก็ต้องถูกติดตามถาวรอยู่แล้ว การอัปเดตสามารถทำได้ด้วยการเพิ่มรายการอีกหนึ่งรายการเข้าไปในเชน และผู้ไม่หวังดีก็แก้ไขตามใจได้ยาก
แค่มีฐานข้อมูลกลางกับ mirror ก็เพียงพอแล้ว และที่ผ่านมาก็ใช้วิธีนั้นได้ดี สิ่งที่จำเป็นคือทำให้ข้อมูลนำไปใช้และแชร์ได้อย่างเสรี และถ้าเป็นไปได้ ให้องค์กรอื่น ๆ ช่วยจัดหมวดหมู่ช่องโหว่ซอฟต์แวร์ด้วย เพื่อให้มี ความซ้ำซ้อนและการจำลองข้อมูล ในระดับหนึ่ง
อยากให้เป็นเรื่องจริง แต่ข้อมูลจริงมีน้อยมาก พวกเขาพูดทั้งว่ากำลังตอบสนองต่อประกาศ และก็พูดว่าเตรียมการมาหนึ่งปีแล้ว
ส่วนท้ายถ้าเป็นสิ่งที่เตรียมไว้อย่างรอบคอบจริง ๆ ก็น่าจะประกาศอะไรออกมาก่อนหน้านี้แล้ว จึงน่าสงสัย ที่นี่ดูมีโอกาสที่ความพยายามหลายทางจะแตกออกจากกัน คงดีถ้าทุกคนรวมตัวกันรอบแนวทางเดียว แต่ไม่รู้ว่านี่คือแนวทางนั้นหรือเปล่า องค์กรไม่แสวงหากำไรที่ตั้งอยู่ในสหรัฐฯ อาจไม่ใช่ทางออกที่ดีที่สุดก็ได้