“STUPID و LAVERAURIN
في التدافع في الساعة الحادية عشرة قبل انتهاء عقد رئيسي في ليلة الثلاثاء ، جددت وكالة الأمن السيبراني والبنية التحتية للولايات المتحدة تمويلها لمشروع تتبع البرمجيات منذ فترة طويلة المعروف باسم برنامج المواثيق والتعرضات المشتركة. تديرها برنامج CVE ، الذي تديره مجموعة الأبحاث والتطوير غير الربحية ، وهو عبارة عن مجموعة من الأمن السيبراني العالمي الذي يوفر بيانات وخدمات مهمة للدفاع والبحث الرقمي.
يخضع برنامج CVE لمجلس يضع أجندة وأولويات ميتري لتنفيذها باستخدام تمويل CISA. وقال متحدث باسم CISA يوم الأربعاء إن العقد مع ميتري يمتد لمدة 11 شهرًا. وقال في بيان “إن برنامج CVE لا يقدر بثمن بالنسبة للمجتمع السيبراني وأولوية CISA”. â Last Night ، نفذت CISA فترة الخيار على العقد لضمان عدم وجود انقضاء في خدمات CVE الحرجة. نقدر صبر شركائنا وأصحاب المصلحة.
قال Yosry Barsoum ، نائب رئيس Miter ومدير مركز تأمين الوطن ، في بيان يوم الأربعاء ، إن “Cisa حدد تمويلًا تدريجيًا للحفاظ على البرامج العاملة.” مع مرور الساعة التي يطلق عليها اسم “CVE”.
-في البداية ، عمل برنامج CVE كمبادرة تمولها الحكومة الأمريكية ، مع توفير الإشراف والإدارة بموجب العقد. في حين أن هذا الهيكل دعم نمو البرنامج ، فقد أثار أيضًا مخاوف طويلة الأمد بين أعضاء مجلس إدارة CVE حول استدامة وحياد مورد يعتمد على مستوى العالم يتم ربطه برعاية حكومية واحدة ، كما كتبت المؤسسة في بيان. لقد أصبح هذا القلق أمرًا عاجلاً بعد 15 أبريل 2025 ، رسالة من Miter تخطر مجلس CVE بأن حكومة الولايات المتحدة لا تنوي تجديد عقدها لإدارة البرنامج. بينما كنا نأمل ألا يأتي هذا اليوم ، كنا نستعد لهذا الاحتمال.
من غير الواضح من هو من لوحة CVE الحالية تابعة للمبادرة الجديدة بخلاف Kent Landfield ، وهو عضو في صناعة الأمن السيبراني منذ فترة طويلة تم نقله في بيان مؤسسة CVE. لم ترد مؤسسة CVE على الفور طلبًا للتعليق.
لم ترد CISA على أسئلة من Wired حول سبب قيام مصير عقد برنامج CVE المعني وما إذا كان مرتبطًا بتخفيضات الميزانية الأخيرة التي تجتاح الحكومة الفيدرالية كما فرضت عليها إدارة ترامب.
شعر الباحثون ومهنيو الأمن السيبراني بالارتياح يوم الأربعاء بأن برنامج CVE لم يتوقف فجأة عن الوجود نتيجة لعدم الاستقرار غير المسبوق في التمويل الفيدرالي الأمريكي. وأعرب العديد من المراقبين عن تفاؤل حذر من أن الحادث يمكن أن يجعل برنامج CVE في النهاية أكثر مرونة إذا كان ينتقل ليكون كيانًا مستقلًا لا يعتمد على التمويل من أي حكومة أو مصدر واحد آخر.
يقول باتريك جاريتي ، باحث أمني في Vulncheck ، إنه من مصلحة كل شخص أن ينجح ، إنه ينجح. الخدمة ، ونحن بحاجة إلى معرفة ما يجب القيام به حيال ذلك ، لأن خسارته سيكون خطرًا للجميع.
تشير سجلات المشتريات الفيدرالية إلى أنه يكلف عشرات الملايين من الدولارات لكل عقد لتشغيل برنامج CVE. ولكن في مخطط الخسائر التي يمكن أن تحدث من هجوم إلكتروني واحد يستغل نقاط الضعف البرمجيات غير المشوهة ، يبدو الخبراء سلكيًا ، تبدو التكاليف التشغيلية ضئيلة مقابل الفائدة للدفاع الأمريكي وحده.
على الرغم من تمويل CISA في اللحظة الأخيرة ، لا يزال مستقبل برنامج CVE غير واضح على المدى الطويل. كمصدر واحد ، الذي طلب عدم الكشف عن هويته لأنهم مقاول اتحادي ، وضعه: “كل شيء غبي وخطير للغاية.
