Правительство США серьезно возьмется за систему CVE
За последние несколько лет программа CVE столкнулась с рядом проблем.
Правительство США намерено предпринять меры по усовершенствованию системы Common Vulnerabilities and Exposures (CVE), которая за несколько последних лет столкнулась с рядом проблем. CVE представляет собой базу данных идентификаторов уязвимостей. Система была создана некоммерческой организацией MITRE Corporation на деньги американского правительства в 1999 году и с тех пор широко используется как общественным, так и частным сектором. Большинство современных решений безопасности использует идентификаторы CVE для выявления и отслеживания кибератак с эксплуатацией определенных уязвимостей.
Хотя система и является американской разработкой, она активно используется по всему миру. Тем не менее, за последние несколько лет с ней возник ряд проблем. По словам многих исследователей, между сообщением об уязвимости и присвоением ей идентификатора проходит слишком много времени. Как поясняют в MITRE Corporation, подобная задержка связана с появлением большого количества новых производителей ПО. Согласно отчету за 2016 год, MITRE Corporation не присвоила идентификаторы свыше 6 тыс. уязвимостей, обнаруженным в 2015 году.
В конце марта 2017 года Комитет Сената США по энергетике и торговле начал подробно изучать работу программы CVE. Спустя больше года с начала расследования, в понедельник, 27 августа, комитет направил письма Министерству внутренней безопасности и MITRE Corporation . В письмах представлены результаты расследования и рекомендации по исправлению выявленных проблем.
Одной из обнаруженных комитетом проблем является уменьшение финансирования программы Министерством внутренней безопасности (на 37% в год с 2012-го по 2015 годы). Еще одной проблемой является недостаток контроля.
