CVE-Stiftung

 (thecvefoundation.org)
1 Punkte von GN⁺ 2025-04-17 | 1 Kommentare | Auf WhatsApp teilen
  • Die CVE Foundation wurde gegründet, um die langfristige Nachhaltigkeit und Unabhängigkeit des CVE Program zu gewährleisten.
  • Das CVE Program ist seit 25 Jahren eine wichtige Säule der globalen Cybersicherheitsinfrastruktur.
  • Durch das Auslaufen eines Vertrags mit der US-Regierung ist die Notwendigkeit eines unabhängigen Betriebs des CVE Program in den Vordergrund gerückt.
  • Die CVE Foundation wird als gemeinnützige Organisation weiterhin eine hochwertige Schwachstellenidentifizierung bereitstellen.
  • Sie bietet der internationalen Cybersicherheits-Community eine wichtige Chance.

Hintergrund der Gründung der CVE Foundation

  • Die CVE Foundation wurde offiziell gegründet und schafft damit die Grundlage, um die langfristige Nachhaltigkeit und Unabhängigkeit des CVE Program zu sichern.
  • Das CVE Program wurde mit finanzieller Unterstützung der US-Regierung betrieben, doch es wurden Bedenken gegen eine Struktur laut, die von einem einzelnen staatlichen Sponsor abhängt.

Bedeutung des CVE Program

  • CVE ist ein Kernelement des globalen Cybersicherheits-Ökosystems und eine wichtige Ressource, die Sicherheitsexperten täglich nutzen.
  • CVE-Kennungen und -Daten sind essenziell für Sicherheitstools, Hinweise, Threat Intelligence und Reaktionen.

Rolle der CVE Foundation

  • Die CVE Foundation beseitigt einen Single Point of Failure im Schwachstellenmanagement-Ökosystem und stellt sicher, dass das CVE Program eine gemeinschaftsgetragene Initiative bleibt, der weltweit vertraut wird.
  • Sie bietet die Chance, eine Governance zu etablieren, die zur internationalen Cybersicherheits-Community passt.

Ausblick

  • Die CVE Foundation wird Informationen zu ihrer Struktur, zum Übergangsplan und zu Möglichkeiten der Community-Beteiligung bereitstellen.
  • Für weitere Informationen oder Anfragen ist sie unter info@thecvefoundation.org erreichbar.

Verwandte Beiträge

1 Kommentare

 
GN⁺ 2025-04-17
Hacker-News-Kommentare
  • Teilt einen Link zu einem LinkedIn-Beitrag eines CVE-Vorstandsmitglieds und erwähnt, dass sich relevante Informationen wohl auch in den Kontaktdaten anderer Vorstandsmitglieder und auf Broadcast-Plattformen finden lassen
  • Weist korrigierend darauf hin, dass der Vertrag in letzter Minute verlängert wurde
  • Hält es für an der Zeit, dass große Unternehmen der Softwarebranche über ein offizielles Konsortium aktiv werden
    • Dieses Modell ist sinnvoll, weil sie den größten Nutzen daraus ziehen
    • Große Tech-Unternehmen schützen ihre Produkte über CVE
    • Sie verfügen über enorme Einnahmen und dedizierte Security-Teams und könnten den Betrieb von CVE daher leicht unterstützen
    • Ein Konsortiumsansatz verteilt die Verantwortung fair
    • Sicherheit ist ein Problem für alle
  • Teilt einen Link zu einem laufenden relevanten Thread
  • Da es sich um ein Sicherheitsproblem handelt, sollte man vom schlimmsten Fall ausgehen und annehmen, dass es nicht legitim ist, solange MITRE die Übernahme nicht bestätigt
  • Fragt sich, wie hoch das Budget von MITRE ist, und hat gesehen, dass die CISA-Finanzierung für das CVE-Programm zwar nicht klar getrennt ausgewiesen ist, aber jährlich mehrere zehn Millionen Dollar beträgt
  • Seit dem Wechsel von der Systemadministration in die Softwareentwicklung verfolgt die Person Sicherheitslücken nicht mehr aktiv und liest heute vor allem Nachrichten über besonders prominente Schwachstellen
    • CVE begegnet ihr häufiger als CERT
    • Sie fragt sich nach dem Unterschied und dem Zusammenhang zu CERT
  • Denkt, dass dieses Szenario besser wäre als der vorherige Zustand, falls es so bestehen bleibt
  • In der Pressemitteilung stehen nur sehr wenige Informationen, daher gibt es viele negative Kommentare, aber es gibt Gründe, an die Legitimität zu glauben, weshalb die Person es unterstützt
  • Hofft, dass diese Situation legitim ist
    • Es heißt, man reagiere auf die Ankündigung und habe dies ein Jahr lang geplant, aber wenn der letzte Teil wirklich so stark geplant gewesen wäre, hätte man es wohl früher angekündigt
    • Die Person denkt, dass sich die Bemühungen zersplittern könnten
    • Es wäre gut, wenn alle eine einheitliche Lösung unterstützen würden, aber sie ist nicht sicher, ob dies diese Lösung ist
    • Eine in den USA ansässige Non-Profit-Organisation ist möglicherweise nicht die beste Lösung