Fundación CVE
(thecvefoundation.org)- La CVE Foundation busca construir una comunidad global confiable y estable que respalde la operación a largo plazo del CVE Program
- El mayor reto es trasladar el CVE Program a un modelo de financiamiento diversificado y estable que no dependa de una única fuente de financiamiento
- Para aumentar la confianza en el proceso de identificación de vulnerabilidades, toma como medios clave la participación, la colaboración con la comunidad internacional y la transparencia
- La fundación apoya que la identificación de vulnerabilidades sea un proceso más fácil y más confiable para todos
- La continuidad del CVE Program depende tanto de estabilizar su estructura de financiamiento como de fortalecer su base de colaboración global
Estabilización de la base operativa del CVE Program
- La CVE Foundation tiene como objetivo garantizar un futuro estable para el CVE Program
- El enfoque actual es apoyar la transición del CVE Program desde una única fuente de financiamiento hacia un modelo de financiamiento diversificado y estable
Fortalecimiento de la confiabilidad en la identificación de vulnerabilidades
- La fundación aprovecha la participación, la colaboración con la comunidad internacional y la transparencia para hacer más confiable la identificación de vulnerabilidades
- El objetivo es ayudar a que la identificación de vulnerabilidades sea un proceso más fácil y de mayor confianza para todos
1 comentarios
Opiniones en Hacker News
Por el contenido de la corrección, parece que el contrato se renovó a último momento
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Sobre los comentarios que ponen en duda su legitimidad: hay una publicación en LinkedIn de uno de los miembros de la junta de CVE. De hecho, es la primera persona de esta lista[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Si se buscan los contactos o canales públicos de otros miembros de la junta de CVE, probablemente se pueda encontrar más información relacionada
[0]: https://www.cve.org/programorganization/board
Hilos en curso relacionados:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Creo que ya es momento de que las empresas más grandes de la industria del software intervengan en alguna forma de consorcio oficial. Tiene sentido como modelo, ya que ellas son las principales beneficiarias
Las grandes empresas tecnológicas dependen de CVE para la seguridad de sus propios productos, tienen ingresos enormes y equipos de seguridad dedicados, así que podrían cubrir fácilmente los costos operativos de CVE. Con un consorcio, la responsabilidad también podría repartirse de forma justa. Se comparten tanto la responsabilidad como los beneficios, y la seguridad es un problema de todos
En general, es muy probable que a los abogados y CTO les encante que CVE desaparezca o pase a manos de la industria. Fuente: más de 20 años trabajando en seguridad
Ese paquete que 50 mil leetcoders no podrían crear por sí mismos y sin el cual no podrían vivir
Lo que se necesita es una red internacional de inteligencia sobre ciberamenazas con múltiples controles, equilibrios y supervisión. Si se pregunta “¿quién paga?”, también habría que preguntar “¿quién obtiene las ganancias reales de la industria tecnológica?”
Como es un tema de seguridad, hay que asumir lo peor. Hasta que MITRE confirme la transferencia, no se puede considerar legítimo, e incluso si la confirma, hay bastante margen para cuestionarlo
Es gracioso que la gente siga diciendo que el gobierno también debería “moverse rápido y romper cosas” como Facebook, pero omita que Facebook decidió gastar entre 60.000 y 65.000 millones de dólares este año en ese proceso
Pero cuando el gobierno se mueve rápido y rompe cosas, de algún modo eso también incluye “costo mínimo”. Me recuerda aquello de “elige dos entre rápido, barato y bueno”
Desde que pasé de administración de sistemas a desarrollo de software hace unas décadas, no he seguido activamente las vulnerabilidades de seguridad. Hoy en día leo sobre todo noticias sobre vulnerabilidades conocidas, y veo CVE con mucha más frecuencia que cert
Antes consultaba cert: https://www.kb.cert.org/vuls/ Acabo de hacer una búsqueda rápida y parece que todavía existe. ¿Cuál es la diferencia o relación entre ambos?
Me pregunto cuál era el presupuesto de MITRE. El presupuesto del programa CVE de CISA no se publica por separado, pero por lo que he visto, se habla de decenas de millones de dólares al año
Aunque el programa CVE es importante, parece excesivo
Si hace falta una base de datos descentralizada para este tipo de datos, quizá blockchain podría ser un buen uso real
Se necesita consenso, debe ser inmutable y debe estar distribuida. Los usuarios que necesiten la base de datos de CVE podrían obtener una copia del ledger por BitTorrent o donde sea y parsear todos los datos o las actualizaciones. Tampoco es que CVE tenga tantísimas actualizaciones, y de todos modos todo debe rastrearse de forma permanente. Las actualizaciones podrían gestionarse agregando una entrada más a la cadena, y a un actor malicioso le resultaría difícil manipularla a su antojo
Una base de datos central y mirrors serían suficientes, y hasta ahora ese modelo ha funcionado bien. Lo necesario es permitir que los datos se usen y compartan libremente y, si es posible, que otras organizaciones también clasifiquen vulnerabilidades de software para aportar cierto grado de redundancia y replicación
Ojalá fuera real, pero hay muy poca información concreta. Dicen tanto que están respondiendo al anuncio como que llevan un año preparándose
Si la última parte hubiera sido realmente una preparación minuciosa, probablemente habrían anunciado algo antes, así que me genera dudas. Aquí parece posible que varios esfuerzos terminen fragmentándose. Sería bueno que todos se reunieran alrededor de una única solución, pero no sé si esta lo sea. Una organización sin fines de lucro con sede en EE. UU. quizá no sea la mejor solución