DHS कॉन्ट्रैक्ट नवीनीकरण विफल होने से CVE प्रोग्राम समय से पहले बंद होने के खतरे में

 (csoonline.com)
2 पॉइंट द्वारा GN⁺ 2025-04-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • MITRE का CVE प्रोग्राम साइबर सुरक्षा का एक प्रमुख घटक है, जो सुरक्षा कमजोरियों की पहचान और प्रबंधन में महत्वपूर्ण भूमिका निभाता है
  • CISA ने MITRE के साथ कॉन्ट्रैक्ट बढ़ाकर CVE प्रोग्राम में रुकावट को टाल दिया
  • कॉन्ट्रैक्ट विस्तार 11 महीनों तक जारी रहने की उम्मीद है, और इसे वैश्विक साइबर समुदाय का समर्थन मिला है
  • कॉन्ट्रैक्ट समाप्त होने से साइबर सुरक्षा इकोसिस्टम पर बड़ा असर पड़ सकता है, और वैकल्पिक समाधान की जरूरत पड़ सकती है
  • VulnCheck जैसी निजी क्षेत्र की कंपनियां CVE प्रोग्राम की कमी को भरने की कोशिश कर रही हैं

DHS और MITRE कॉन्ट्रैक्ट समाप्ति का संकट

  • MITRE का CVE प्रोग्राम 25 वर्षों से चला आ रहा एक महत्वपूर्ण साइबर सुरक्षा डेटाबेस है
  • DHS द्वारा कॉन्ट्रैक्ट नवीनीकृत न किए जाने से प्रोग्राम रुकने के खतरे में आ गया था
  • CISA ने कॉन्ट्रैक्ट विस्तार के जरिए प्रोग्राम को रुकने से बचाया

CVE प्रोग्राम का महत्व

  • CVE प्रोग्राम वैश्विक साइबर सुरक्षा इकोसिस्टम की बुनियाद है और सुरक्षा कमजोरियों की पहचान व प्रबंधन के लिए अनिवार्य है
  • NIST और CISA अतिरिक्त जानकारी देते हैं, लेकिन CVE रिकॉर्ड का मुख्य स्रोत MITRE ही है
  • प्रोग्राम रुकने पर वैश्विक सुरक्षा प्रबंधन पर बड़ा प्रभाव पड़ सकता है

कॉन्ट्रैक्ट समाप्ति की पृष्ठभूमि

  • DHS के कॉन्ट्रैक्ट समाप्त करने के फैसले का कारण स्पष्ट नहीं है
  • माना जा रहा है कि सरकारी बजट कटौती इसका मुख्य कारण हो सकती है
  • CVE प्रोग्राम का संचालन खर्च अपेक्षाकृत कम है

आगे की स्थिति

  • MITRE 16 अप्रैल से नए CVE रिकॉर्ड जोड़ना बंद करने वाला था
  • मौजूदा रिकॉर्ड GitHub पर उपलब्ध रहते
  • निजी क्षेत्र द्वारा वैकल्पिक समाधान दिए जाने की संभावना है

संबंधित समाचार

  • विशेषज्ञों का मानना है कि MITRE की फंडिंग अब भी अनिश्चित बनी हुई है
  • नया ResolverRAT मैलवेयर दुनिया भर के हेल्थकेयर और फार्मास्यूटिकल संगठनों को निशाना बना रहा है
  • Windows और SAP ऐप्स की कमजोरियों से जुड़े नवीनतम पैच समाचार

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-17
Hacker News राय
  • CVE Foundation को लेकर चर्चा चल रही है
  • MITRE के साथ अनुबंध बढ़ा दिया गया है
  • CVE Board के सदस्य नया CVE Foundation शुरू करके CVE प्रोग्राम की दीर्घकालिक स्थिरता और स्वतंत्रता सुनिश्चित करना चाहते हैं
  • ऐसा लगता है कि DHS के भीतर विभागों के बीच विभाजन के कारण इस समस्या के नकारात्मक पहलुओं को पर्याप्त रूप से नहीं समझा गया
  • संभव है कि CVE प्रोग्राम के महत्व को न समझने वाले किसी उच्च वित्तीय विभाग ने गलत निर्णय लिया हो
  • कई ycombinator संस्थापकों और Hacker News पाठकों ने इस समस्या को संभव बनाया, और अब वे उसके परिणामों पर सवाल उठा रहे हैं
  • इससे यह सोचने पर मजबूर होना पड़ता है कि समाज के लिए महत्वपूर्ण दूसरी चीजें भी पिछले कुछ हफ्तों में चुपचाप गायब हो गई होंगी
  • मौजूदा CVE implementation में बड़ी समस्याएँ थीं। खास तौर पर script kiddie और AI tools डेटाबेस को spam से भर रहे थे, और security को गंभीरता से लेने वाले projects का scores पर लगभग कोई असर नहीं पड़ रहा था
  • OSS software में CVE management करने वाले लोग पहले से जानते हैं कि NVD funding cuts एक साल से भी अधिक समय से जारी हैं
  • NIST National Vulnerability Database (NVD) को maintain करता है, जो राष्ट्रीय cyber security infrastructure का एक मुख्य हिस्सा है
  • software की बढ़ती मात्रा के कारण vulnerabilities बढ़ रही हैं, और संस्थानों के बीच support में बदलाव के कारण उन्हें संभालना कठिन हो रहा है
  • दीर्घकालिक समाधान के रूप में industry, government और अन्य stakeholder organizations के consortium की स्थापना पर विचार किया जा रहा है
  • Yocto Project ने CVE Project और CNAs को एक खुला पत्र भेजा है और चिंता जताई है कि हाल की घटनाओं ने project में vulnerability identification और resolution पर नकारात्मक प्रभाव डाला है
  • 5 साल पहले Carnegie Mellon के CERT Director ने CVE backlog और resources की कमी की समस्या उठाई थी, और कई reported vulnerabilities को CVE number नहीं मिल पा रहा था
  • MITRE की CVE और CWE programs में भागीदारी के लिए नवीनतम अनुबंध 17 अप्रैल 2024 से 16 अप्रैल 2025 तक USD$29.1m पर किया गया था, और इसे अधिकतम USD$57.8m तक बढ़ाए जाने की संभावना है
  • 16 अप्रैल 2025 से 16 अप्रैल 2026 तक अनुबंध बढ़ाया जाएगा या नहीं, इस पर अभी निर्णय नहीं हुआ है, और किसी वैकल्पिक अनुबंध के लिए कोई सार्वजनिक तरीका भी उपलब्ध नहीं है