El programa CVE enfrenta un cierre anticipado por el fracaso en la renovación del contrato con el DHS

 (csoonline.com)
2 puntos por GN⁺ 2025-04-17 | 1 comentarios | Compartir por WhatsApp
  • El programa CVE de MITRE es un componente clave de la ciberseguridad y cumple un papel importante en la identificación y gestión de vulnerabilidades de seguridad
  • CISA extendió su contrato con MITRE para evitar la interrupción del programa CVE
  • La extensión del contrato se mantendrá durante 11 meses y cuenta con el respaldo de la comunidad cibernética global
  • El fin del contrato podría tener un gran impacto en el ecosistema de ciberseguridad y podría requerir soluciones alternativas
  • El sector privado, como VulnCheck, está trabajando para cubrir cualquier vacío que deje el programa CVE

Crisis por el fin del contrato entre DHS y MITRE

  • El programa CVE de MITRE es una importante base de datos de ciberseguridad que se ha mantenido durante 25 años
  • Como el DHS no renovó el contrato, el programa estuvo en riesgo de ser interrumpido
  • CISA evitó la interrupción del programa mediante una extensión del contrato

La importancia del programa CVE

  • El programa CVE es la base del ecosistema global de ciberseguridad y es esencial para identificar y gestionar vulnerabilidades de seguridad
  • NIST y CISA proporcionan información adicional, pero MITRE es la fuente principal de los registros CVE
  • Si el programa se interrumpe, podría afectar gravemente la gestión de seguridad a nivel global

Contexto del fin del contrato

  • No está claro por qué el DHS decidió terminar el contrato
  • Se estima que los recortes presupuestarios del gobierno fueron la causa principal
  • El costo operativo del programa CVE es relativamente bajo

Perspectivas a futuro

  • MITRE planea no agregar nuevos registros CVE a partir del 16 de abril
  • Los registros existentes seguirán disponibles en GitHub
  • Existe la posibilidad de que el sector privado ofrezca soluciones alternativas

Noticias relacionadas

  • Expertos opinan que el financiamiento de MITRE sigue siendo incierto
  • El nuevo malware ResolverRAT apunta a organizaciones médicas y farmacéuticas en todo el mundo
  • Últimas noticias sobre parches relacionados con vulnerabilidades en Windows y aplicaciones de SAP

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-04-17
Opinión de Hacker News
  • Hay una discusión en curso relacionada con la CVE Foundation
  • El contrato con MITRE fue renovado
  • Los miembros de la Junta de CVE buscan lanzar una nueva CVE Foundation para garantizar la estabilidad e independencia a largo plazo del programa CVE
  • Parece que, debido a la separación entre departamentos dentro de DHS, no se comprendió del todo el lado negativo de este problema
  • Al parecer, un alto departamento financiero que no reconoció la importancia del programa CVE tomó una mala decisión
  • Muchos fundadores de Y Combinator y lectores de Hacker News hicieron posible este problema, y ahora se están preguntando por sus consecuencias
  • Esto hace pensar en la posibilidad de que otras cosas importantes para la sociedad hayan desaparecido silenciosamente en las últimas semanas
  • Había problemas importantes con la implementación actual de CVE. En particular, era problemático que script kiddies y herramientas de IA llenaran la base de datos con spam, mientras que los proyectos que sí se toman en serio la seguridad casi no influían en la puntuación
  • Quienes gestionan CVE en software OSS ya saben que los recortes de financiamiento para NVD llevan más de un año
  • NIST mantiene la National Vulnerability Database (NVD), que es un elemento central de la infraestructura nacional de ciberseguridad
  • El aumento del software está provocando un incremento de vulnerabilidades, y los cambios en el apoyo entre instituciones están dificultando el manejo de esas vulnerabilidades
  • Como solución de largo plazo, se está considerando crear un consorcio de la industria, el gobierno y otras organizaciones interesadas
  • Yocto Project envió una carta abierta al CVE Project y a las CNA, expresando su preocupación de que los acontecimientos recientes hayan afectado negativamente la identificación y resolución de vulnerabilidades del proyecto
  • Hace 5 años, el director de CERT de Carnegie Mellon anunció problemas de backlog de CVE y falta de recursos, y muchas vulnerabilidades reportadas no están recibiendo un número CVE
  • El contrato más reciente para la participación de MITRE en los programas CVE y CWE se firmó por USD$29.1m desde el 17 de abril de 2024 hasta el 16 de abril de 2025, con posibilidad de extensión hasta un máximo de USD$57.8m
  • Aún no se ha decidido si habrá una extensión del contrato del 16 de abril de 2025 al 16 de abril de 2026, y tampoco existe un enfoque público para un contrato alternativo