Fundación CVE

 (thecvefoundation.org)
1 puntos por GN⁺ 2025-04-17 | 1 comentarios | Compartir por WhatsApp
  • La CVE Foundation fue creada para garantizar la sostenibilidad e independencia a largo plazo del CVE Program
  • El CVE Program ha funcionado durante 25 años como un pilar importante de la infraestructura global de ciberseguridad
  • Debido al fin del contrato con el gobierno de Estados Unidos, surgió la necesidad de una operación independiente del CVE Program
  • La CVE Foundation, como organización sin fines de lucro, seguirá proporcionando identificación de vulnerabilidades de alta calidad
  • Ofrece una oportunidad importante para la comunidad internacional de ciberseguridad

Antecedentes de la creación de la CVE Foundation

  • La CVE Foundation se estableció oficialmente, sentando las bases para garantizar la sostenibilidad e independencia a largo plazo del CVE Program
  • El CVE Program operaba con financiamiento del gobierno de Estados Unidos, pero surgieron preocupaciones sobre una estructura dependiente del patrocinio de un solo gobierno

Importancia del CVE Program

  • CVE es un elemento central del ecosistema global de ciberseguridad y un recurso clave que los profesionales de seguridad usan a diario
  • Los identificadores y datos de CVE son esenciales para herramientas de seguridad, avisos, inteligencia de amenazas y respuesta

Papel de la CVE Foundation

  • La CVE Foundation elimina un punto único de falla en el ecosistema de gestión de vulnerabilidades y garantiza que el CVE Program siga siendo una iniciativa impulsada por la comunidad y con confianza global
  • Ofrece la oportunidad de establecer una gobernanza adecuada para la comunidad internacional de ciberseguridad

Planes futuros

  • La CVE Foundation proporcionará información sobre su estructura, plan de transición y oportunidades de participación de la comunidad
  • Para más información o consultas, se puede contactar a info@thecvefoundation.org

Lecturas relacionadas

1 comentarios

 
GN⁺ 2025-04-17
Comentarios de Hacker News
  • Comparte un enlace a una publicación de LinkedIn de un miembro de la junta de CVE y menciona que probablemente también se pueda encontrar información relacionada en los datos de contacto de otros miembros de la junta y en plataformas de transmisión
  • Presenta una corrección indicando que el contrato se renovó en el último momento
  • Cree que ya es momento de que las principales empresas de la industria del software den un paso al frente mediante un consorcio formal
    • Este modelo es razonable porque son quienes más se benefician
    • Las grandes tecnológicas protegen sus propios productos a través de CVE
    • Tienen ingresos enormes y equipos de seguridad dedicados, por lo que pueden apoyar fácilmente la operación de CVE
    • Un enfoque de consorcio reparte la responsabilidad de manera justa
    • La seguridad es un problema de todos
  • Comparte un enlace a un hilo relacionado que sigue en curso
  • Como se trata de un tema de seguridad, hay que asumir el peor escenario y considerarlo no legítimo a menos que MITRE confirme la transferencia
  • Se pregunta cuál es el presupuesto de MITRE y comenta que el financiamiento de CISA para el programa CVE no está claramente desglosado, aunque ha visto cifras de decenas de millones de dólares al año
  • Desde que pasó de la administración de sistemas al desarrollo de software, no ha monitoreado activamente las vulnerabilidades de seguridad, y hoy en día solo lee noticias sobre vulnerabilidades de alto perfil
    • Ve más CVE que cert
    • Tiene curiosidad por la diferencia y la relación entre cert y CVE
  • Piensa que, si esta situación se mantiene, el resultado sería mejor que antes
  • Aunque hay muchos comentarios negativos porque el comunicado de prensa casi no tiene información, lo apoya porque ve razones para creer que es legítimo
  • Espera que esta situación sea legítima
    • Dice que están respondiendo al anuncio y que lo han estado planeando durante un año, pero sospecha que si esa última parte hubiera estado realmente bien planificada, lo habrían anunciado antes
    • Cree que existe la posibilidad de que el esfuerzo se fragmente
    • Sería bueno que todos apoyaran una única solución, pero no está seguro de que esta lo sea
    • Una organización sin fines de lucro con sede en EE. UU. podría no ser la mejor solución