Het CVE-programma dat kwetsbaarheden in software opvolgt, zal zijn fondsen dan toch niet verliezen. De beveiligingswereld slaakt een zucht van opluchting.
Mitre, de organisatie die het bekende CVE-programma overziet, zal nog kunnen rekenen op fondsen van de Amerikaanse overheid. Dat bevestigt een woordvoerder van de Amerikaanse beveiligingsorganisatie CISA aan Bleeping Computer. Even zag het er slecht uit voor het programma, toen Mitre aankondigde dat het op 16 april zijn financiering zag stopgezet worden wegens een gebrek aan geld bij de overheid.
CVE, afkorting voor Common Vulnerabilities and Exposures, speelt een belangrijke rol in globale IT-beveiliging. De CVE-database houdt een overzicht bij van gekende kwetsbaarheden in softwaretools. Iedere kwetsbaarheid wordt dan ook aangeduid met een CVE-code. Sinds de stichting van het programma in 1999 werden meer dan 275.000 kwetsbaarheden geregistreerd.
Totale chaos
Het nieuws dat het programma geen steun meer zou krijgen van de Amerikaanse overheid, de belangrijkste geldschieter, zorgde dan ook voor onrust onder beveiligingsexperts. Termen als ‘totale chaos’ en ‘het wereldwijd lamleggen van cyberbeveiliging’ werden door experts in de mond genomen op sociale media.
“Als er een onderbreking in de dienstverlening zou optreden, verwachten we meerdere gevolgenn waaronder een verslechtering van (inter)nationale kwetsbaarheidsdatabases en adviezen, toolleveranciers en incidentbestrijdingsoperaties voor kritieke infrastructuur”, verwoordt Yosry Barsoum van Mitre het iets genuanceerder bij Bleeping Computer.
De organisatie lijkt wel te hebben ingezien dat het beter minder afhankelijk wordt van de Amerikaanse overheid. Je weet met Donald Trump nooit wanneer hij zich opnieuw zal bedenken. Daarom werd de non-profitorganisatie CVE Foundation uit de grond gestampt. Die hangt minder vast aan de overheid waardoor het ook elders fondsen kan ronselen.
Veel Europese bedrijven steunen ook op de Amerikaanse CVE-database om op de hoogte te blijven van kwetsbaarheden in softwareproducten die ze gebruiken. Minder bekend is EUVD, de Europese tegenhanger die beheerd wordt door ENISA. In het kader van de NIS2-wetgeving besliste de Europese Unie om een eigen systeem voor het tracken van kwetsbaarheden op te richten.
lees ook