CVE Foundation
(thecvefoundation.org)- Die CVE Foundation will eine vertrauenswürdige und stabile globale Community aufbauen, die den langfristigen Betrieb des CVE Program unterstützt
- Die größte Herausforderung besteht darin, das CVE Program auf ein diversifiziertes und stabiles Finanzierungsmodell umzustellen, das nicht von einem einzigen Finanzierungsstrom abhängig ist
- Um das Vertrauen in den Prozess der Schwachstellenidentifikation zu stärken, setzt sie auf Beteiligung, internationale Community-Zusammenarbeit und Transparenz als zentrale Mittel
- Die Foundation unterstützt dabei, die Identifikation von Schwachstellen für alle einfacher und vertrauenswürdiger zu machen
- Die Kontinuität des CVE Program hängt zugleich von der Stabilisierung der Finanzierungsstruktur und der Stärkung der Grundlage für globale Zusammenarbeit ab
Stabilisierung der Betriebsgrundlage des CVE Program
- Die CVE Foundation verfolgt das Ziel, eine stabile Zukunft des CVE Program sicherzustellen
- Der aktuelle Fokus liegt darauf, das CVE Program bei der Umstellung von einem einzigen Finanzierungsstrom auf ein diversifiziertes und stabiles Finanzierungsmodell zu unterstützen
Stärkung der Vertrauenswürdigkeit der Schwachstellenidentifikation
- Die Foundation nutzt Beteiligung, internationale Community-Zusammenarbeit und Transparenz, um die Identifikation von Schwachstellen vertrauenswürdiger zu machen
- Ziel ist es, dazu beizutragen, dass die Identifikation von Schwachstellen zu einem für alle einfacheren und vertrauenswürdigeren Prozess wird
1 Kommentare
Meinungen auf Hacker News
Den Änderungen nach zu urteilen, scheint der Vertrag in letzter Minute verlängert worden zu sein.
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
Zu den Kommentaren, die die Legitimität anzweifeln: Es gibt einen LinkedIn-Beitrag von einem der Mitglieder des CVE-Vorstands. Es ist tatsächlich die erste Person auf dieser Liste[0]: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
Wenn man nach Kontaktdaten oder öffentlichen Kanälen anderer CVE-Vorstandsmitglieder sucht, findet man vermutlich noch mehr dazu.
[0]: https://www.cve.org/programorganization/board
Laufende Threads dazu:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
Ich denke, jetzt ist es an der Zeit, dass die größten Unternehmen der Softwarebranche in Form eines offiziellen Konsortiums oder Ähnlichem einspringen. Da sie am meisten davon profitieren, ergibt so ein Modell Sinn.
Große Tech-Unternehmen verlassen sich für die Sicherheit ihrer Produkte auf CVE, haben enorme Umsätze und eigene Sicherheitsteams, also könnten sie die Betriebskosten von CVE problemlos tragen. Ein Konsortium würde die Verantwortung fair verteilen. Verantwortung wird geteilt, Nutzen wird geteilt, und Sicherheit geht alle an.
Im Allgemeinen würden Anwälte und CTOs es wahrscheinlich lieben, wenn CVE verschwindet oder an die Branche übergeht. Quelle: über 20 Jahre Arbeit im Sicherheitsbereich.
Ihr wisst schon, dieses Paket, das 50.000 Leetcoder weder selbst bauen könnten noch ohne das sie überleben würden.
Was nötig ist, ist ein internationales Netzwerk für Cyber-Threat-Intelligence mit mehreren Checks and Balances und Aufsicht. Wenn man fragt: „Wer soll dafür bezahlen?“, sollte man auch fragen: „Wer profitiert wirklich von der Tech-Industrie?“
Da es um Sicherheit geht, muss man vom Schlimmsten ausgehen. Solange MITRE die Übergabe nicht bestätigt, kann man das nicht als legitim ansehen, und selbst wenn sie es bestätigt, gibt es weiterhin genug Anlass für Fragen.
Es ist witzig, dass Leute ständig sagen, die Regierung solle wie Facebook „sich schnell bewegen und Dinge kaputtmachen“, dabei aber auslassen, dass Facebook dafür in diesem Jahr 60 bis 65 Milliarden Dollar ausgeben will.
Wenn die Regierung sich schnell bewegt und Dinge kaputtmacht, soll das aus irgendeinem Grund auch noch „minimale Kosten“ einschließen. Das erinnert an: „Schnell, billig, gut – wähle zwei.“
Seit ich vor ein paar Jahrzehnten von der Systemadministration in die Softwareentwicklung gewechselt bin, habe ich Sicherheitslücken nicht mehr aktiv verfolgt. Heute lese ich hauptsächlich Nachrichten über bekannte Schwachstellen, und dabei sehe ich CVE viel häufiger als CERT.
Früher habe ich CERT verfolgt: https://www.kb.cert.org/vuls/ Eine schnelle Suche eben zeigt, dass es das noch gibt. Was ist der Unterschied bzw. die Beziehung zwischen beiden?
Ich frage mich, wie hoch das MITRE-Budget war. Das Budget von CISA für das CVE-Programm wird zwar nicht separat ausgewiesen, aber nach dem, was ich gesehen habe, soll es bei zig Millionen Dollar pro Jahr liegen.
Auch wenn das CVE-Programm wichtig ist, wirkt das überzogen.
Wenn man für solche Daten eine dezentrale Datenbank braucht, könnte die Blockchain tatsächlich ein sinnvoller Anwendungsfall sein.
Man braucht Konsens, sie muss unveränderlich sein und verteilt vorliegen. Nutzer, die die CVE-Datenbank benötigen, könnten sich eine Kopie des Ledgers über BitTorrent oder woanders herunterladen und alle Daten oder Updates parsen. Die CVE-Datenbank hat auch nicht extrem viele Updates, und ohnehin muss alles dauerhaft nachverfolgt werden. Updates ließen sich verarbeiten, indem man der Chain einen weiteren Eintrag hinzufügt, und für böswillige Akteure wäre es schwer, sie einfach zu manipulieren.
Eine zentrale Datenbank plus Mirrors reichen völlig, und so hat es bisher auch gut funktioniert. Nötig ist, dass die Daten frei genutzt und geteilt werden können, und dass idealerweise auch andere Organisationen Software-Schwachstellen klassifizieren, um ein gewisses Maß an Redundanz und Replikation zu bieten.
Ich würde mir wünschen, dass es echt ist, aber es gibt kaum konkrete Informationen. Sie sagen sowohl, dass sie auf die Ankündigung reagieren, als auch, dass sie sich seit einem Jahr darauf vorbereiten.
Wenn der letzte Teil wirklich sorgfältig vorbereitet gewesen wäre, hätten sie vermutlich schon früher etwas angekündigt, daher bin ich skeptisch. Es sieht so aus, als könnten sich hier mehrere Bemühungen aufspalten. Es wäre gut, wenn sich alle um eine einzige Lösung sammeln würden, aber ich weiß nicht, ob das diese Lösung ist. Eine in den USA ansässige Non-Profit-Organisation ist vielleicht nicht die beste Lösung.