Skip to Content

MITRE și Programul CVE – Ce Se Întâmplă După Expirarea Contractului din 16 Aprilie 2025?

16 April 2025 by
MITRE și Programul CVE – Ce Se Întâmplă După Expirarea Contractului din 16 Aprilie 2025?
Liviu Bucel

Ce este CVE și de ce contează atât de mult în securitatea cibernetică?

Programul Common Vulnerabilities and Exposures (CVE®) este unul dintre pilonii fundamentali ai securității cibernetice globale. CVE oferă un sistem standardizat de identificare și catalogare a vulnerabilităților descoperite în software-uri, servicii și infrastructuri IT. Fără el, soluțiile de tip SIEM, EDR, patch management sau threat intelligence ar funcționa... pe bâjbâite.

Ce s-a întâmplat acum?

Pe 15 aprilie 2025, a fost scurs un document intern semnat de Yosry Barsoum, Vicepreședinte MITRE, care confirma că contractul MITRE pentru dezvoltarea și întreținerea CVE expiră oficial pe 16 aprilie 2025. Confirmarea oficială a venit și din partea MITRE, într-un răspuns trimis publicației Cyber Security News.

Acest contract include și alte componente esențiale precum:

  • CWE – Common Weakness Enumeration
  • Suportul pentru modernizarea infrastructurii de raportare
  • Actualizarea bazei de date la formatul JSON
  • Extinderea spre vulnerabilități de tip serviciu, nu doar software clasic

Ce înseamnă această întrerupere pentru industrie?

Dacă nu se prelungește contractul, pot apărea consecințe grave:

  1. Încetinirea înregistrării CVE-urilor – ceea ce duce la întârzierea patch-urilor de securitate.
  2. Impact asupra vendorilor care depind de CVE-uri pentru a prioritiza și automatiza procesele de răspuns.
  3. Riscuri directe pentru infrastructuri critice care se bazează pe aceste date pentru protecție activă.
  4. Disfuncționalități în tool-urile de Threat Intelligence, SIEM și EDR, care consumă datele CVE.

Ce spune MITRE?

“Guvernul continuă să facă eforturi considerabile pentru a susține rolul MITRE în program. MITRE rămâne dedicat CVE ca resursă globală.”

Cu alte cuvinte, este posibil ca activitatea să continue în viitorul apropiat, dar fără o finanțare garantată, totul e nesigur.

De ce este îngrijorătoare această schimbare?

Programul CVE este piatra de temelie pentru o industrie estimată la peste 37 de miliarde de dolari. Orice întrerupere poate crea:

  • Confuzie în rândul furnizorilor
  • Lipsă de încredere în actualitatea vulnerabilităților raportate
  • O oportunitate pentru actorii malițioși să exploateze fereastra de haos

Ce urmează?

Rămâne de văzut dacă:

  • Guvernul SUA va prelungi rapid contractul cu MITRE
  • Va apărea un nou operator pentru programul CVE
  • Comunitatea open-source va trebui să acopere golul

Concluzie

Suntem într-un moment critic pentru securitatea cibernetică globală. CVE este mai mult decât o simplă bază de date – este sistemul imunitar al internetului modern. Monitorizează cu atenție evoluțiile din zilele următoare.

Ce poți face tu ca profesionist în securitate?

  • Fii vigilent la noi CVE-uri publicate, chiar dacă vor exista întârzieri
  • Utilizează surse alternative ca ExploitDB, NVD, CERT-uri regionale
  • Pregătește-ți infrastructura pentru eventuale întârzieri în actualizările automate
Share this post
Tags
Archive