CISA afirma que el gobierno estadounidense ha ampliado la financiación de MITRE para garantizar que no haya problemas de continuidad con el programa crítico Common Vulnerabilities and Exposures (CVE).
"El Programa CVE tiene un valor incalculable para la comunidad cibernética y es una prioridad de CISA", dijo la agencia de ciberseguridad estadounidense a BleepingComputer. "Anoche, CISA ejecutó el período de opción en el contrato para garantizar que no habrá ningún lapso en los servicios críticos de CVE. Agradecemos la paciencia de nuestros socios y partes interesadas."
BleepingComputer ha sabido que la prórroga del contrato es de 11 meses.
El anuncio se produce después de que el vicepresidente de MITRE, Yosry Barsoum, advirtiera de que la financiación gubernamental de los programas CVE y CWE expiraba hoy, 16 de abril, lo que podría provocar trastornos generalizados en el sector de la ciberseguridad.
"Si se produjera una interrupción del servicio, prevemos múltiples repercusiones para CVE, incluido el deterioro de las bases de datos y los avisos nacionales sobre vulnerabilidades, los proveedores de herramientas, las operaciones de respuesta a incidentes y todo tipo de infraestructuras críticas", declaró Barsoum.
MITRE mantiene CVE, un programa ampliamente adoptado que proporciona precisión, claridad y normas compartidas a la hora de hablar de vulnerabilidades de seguridad, con financiación de la División de Ciberseguridad Nacional del Departamento de Seguridad Nacional (DHS) de EE.UU..
Un portavoz de MITRE no estaba disponible para hacer comentarios cuando BleepingComputer se puso en contacto con él a primera hora de hoy.
Lanzamiento de la Fundación CVE
Antes del anuncio de CISA, un grupo de miembros de la Junta de CVE anunció el lanzamiento de la Fundación CVE, una organización sin ánimo de lucro creada para garantizar la independencia del programa CVE ante la advertencia de MITRE de que el gobierno de EE.UU. podría no renovar su contrato para gestionar el programa.
"Desde su creación, el programa CVE ha funcionado como una iniciativa financiada por el gobierno de EE.UU., con la supervisión y la gestión proporcionada por contrato", dijeron en un comunicado de prensa el miércoles. "Si bien esta estructura ha apoyado el crecimiento del programa, también ha planteado preocupaciones de larga data entre los miembros de la Junta de CVE sobre la sostenibilidad y la neutralidad de un recurso globalmente confiable que está atado a un solo patrocinador gubernamental."
Durante el último año, las personas involucradas en el lanzamiento han estado desarrollando una estrategia para la transición del programa a esta fundación dedicada, eliminando "un único punto de fallo en el ecosistema de gestión de vulnerabilidades" y garantizando que «el Programa CVE siga siendo una iniciativa de confianza global impulsada por la comunidad.»
Aunque la Fundación CVE tiene previsto publicar más información sobre su planificación de la transición en los próximos días, los próximos pasos siguen sin estar claros, sobre todo teniendo en cuenta que CISA ha confirmado que se ha ampliado la financiación del contrato de MITRE.
La Agencia de Ciberseguridad de la Unión Europea (ENISA) también ha puesto en marcha una base de datos europea de vulnerabilidades (EUVD), que "adopta un enfoque de múltiples partes interesadas mediante la recopilación de información sobre vulnerabilidades a disposición del público procedente de múltiples fuentes."
Fuente: bleepingcomputer