Попытка американской администрации сэкономить на базе данных об IT-уязвимостях отложена
Среда была последним днём перед тем, как проект выявления и систематизации уязвимостей ПО Common Vulnerabilities and Exposures (CVE) должен был остановиться из-за прекращения государственного американского финансирования; опасное решение всё же отменили, сообщило в четверг Reuters.
CVE – общедоступный ресурс, де-факто он представляет собой стандарт, в котором работают ИБ-специалисты и разработчики ПО всего мира. Здесь сведения об уязвимостях накапливаются, классифицируются, каждой уязвимости присваивается уникальный код. Т.е. сведения об угрозах концентрируются в одном месте.
Ведёт CVE американская НКО MITRE, а финансирует агентство по кибербезопасности и безопасности инфраструктуры США (Cybersecurity and Infrastructure Security Agency, CISA). CISA и добилось продолжения поддержки CVE.
Опрометчивое и чуть было не состоявшееся решение имело очевидной причиной сокращение расходов казны и было очевидной глупостью. Доминирование США в IT-индустрии во многом обеспечивается контролем индустриальных стандартов, важной частью этих стандартов является CVE.
CISA получило право финансировать MITRE ещё 11 месяцев. По их истечении, рискнём прогнозировать, у американской администрации пройдёт желание сэкономить на CVE и вывести проект из-под своего влияния.