Правительство США серьезно возьмется за систему CVE

Правительство США серьезно возьмется за систему CVE

Правительство США намерено предпринять меры по усовершенствованию системы Common Vulnerabilities and Exposures (CVE), которая за несколько последних лет столкнулась с рядом проблем.

CVE представляет собой базу данных идентификаторов уязвимостей. Система была создана некоммерческой организацией MITRE Corporation на деньги американского правительства в 1999 году и с тех пор широко используется как общественным, так и частным сектором. Большинство современных решений безопасности использует идентификаторы CVE для выявления и отслеживания кибератак с эксплуатацией определенных уязвимостей.

Хотя система и является американской разработкой, она активно используется по всему миру. Тем не менее, за последние несколько лет с ней возник ряд проблем. По словам многих исследователей, между сообщением об уязвимости и присвоением ей идентификатора проходит слишком много времени. Как поясняют в MITRE Corporation, подобная задержка связана с появлением большого количества новых производителей ПО. Согласно отчету за 2016 год, MITRE Corporation не присвоила идентификаторы свыше 6 тыс. уязвимостей, обнаруженным в 2015 году.

В конце марта 2017 года Комитет Сената США по энергетике и торговле начал подробно изучать работу программы CVE. Спустя больше года с начала расследования, в понедельник, 27 августа, комитет направил письма Министерству внутренней безопасности и MITRE Corporation . В письмах представлены результаты расследования и рекомендации по исправлению выявленных проблем.

Одной из обнаруженных комитетом проблем является уменьшение финансирования программы Министерством внутренней безопасности (на 37% в год с 2012-го по 2015 годы). Еще одной проблемой является недостаток контроля.

Securitylab