2 पॉइंट द्वारा GN⁺ 2025-04-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • DHS की फंडिंग कॉन्ट्रैक्ट समाप्त होने के कारण MITRE का CVE प्रोग्राम 2025 अप्रैल 16 मध्यरात्रि को रुक सकता था, लेकिन CISA ने कॉन्ट्रैक्ट का option period लागू करके यह खालीपन टाल दिया
  • सूत्रों के अनुसार विस्तार अवधि 11 महीने की है, और CISA CVE को साइबर कम्युनिटी की एक कोर सेवा और एजेंसी की प्राथमिकता मानता है
  • CVE और CWE प्रोग्राम के संचालन के लिए incremental funding 16 अप्रैल की सुबह कन्फर्म हो गई, जिससे तय सेवा रुकावट टल गई
  • CVE कमजोरी की पहचान और प्रबंधन का de facto standard है, और NVD·CISA vulnrichment·security vendor products·CERT·enterprise vulnerability databases जिस आधारभूत डेटा पर निर्भर हैं, वह यही है
  • कॉन्ट्रैक्ट समाप्ति का कारण स्पष्ट नहीं है, और अगर वास्तव में रुकावट होती तो नए CVE records जोड़ना बंद हो जाता और मौजूदा records GitHub के जरिए उपलब्ध कराए जाते

CISA के आपातकालीन विस्तार से रुकावट टली

  • MITRE का Common Vulnerabilities and Exposures, यानी CVE प्रोग्राम, DHS के साथ उसके कॉन्ट्रैक्ट के 2025 अप्रैल 16 मध्यरात्रि को समाप्त होने वाला था
  • CISA ने कॉन्ट्रैक्ट का option period लागू किया, जिससे MITRE CVE प्रोग्राम की सेवा रुकावट नहीं हुई
    • CISA ने कहा कि CVE साइबर कम्युनिटी के लिए बेहद महत्वपूर्ण है और एजेंसी की प्राथमिकता है
    • उसका कहना है कि कोर CVE सेवाओं में कोई गैप न आए, इसलिए option period लागू किया गया
    • सूत्रों के अनुसार कॉन्ट्रैक्ट विस्तार 11 महीने तक चलेगा
  • MITRE के Yosry Barsoum ने कहा कि सरकारी कदम से CVE प्रोग्राम और Common Weakness Enumeration, यानी CWE प्रोग्राम, दोनों की रुकावट टल गई
    • 2025 अप्रैल 16 सुबह तक CISA ने प्रोग्राम संचालन जारी रखने के लिए incremental funding की पुष्टि कर दी थी
    • MITRE ने CVE और CWE को global resource के रूप में बनाए रखने की अपनी प्रतिबद्धता दोहराई

मूल रूप से तय कॉन्ट्रैक्ट समाप्ति और उसका असर

  • 2025 अप्रैल 15 तक MITRE ने CVE Board को बताया था कि DHS के साथ कॉन्ट्रैक्ट समाप्त होने पर CVE database के रखरखाव की फंडिंग बंद हो जाएगी
  • समाप्त होने वाले दायरे में MITRE द्वारा CVE प्रोग्राम का विकास, संचालन और modernization, साथ ही उससे जुड़ा CWE प्रोग्राम, शामिल था
  • Rand Corporation के Sasha Romanosky ने CVE naming और software package·version के हिसाब से allocation को software vulnerability ecosystem की बुनियाद बताया
    • CVE के बिना नई खोजी गई कमजोरियों को ट्रैक करना कठिन हो जाएगा
    • severity scoring, exploit prediction और patch decision-making भी अस्थिर हो सकते हैं
  • Bitsight के Ben Edwards ने कहा कि CVE ऐसा मूल्यवान resource है जिसे फंडिंग मिलनी ही चाहिए, और कॉन्ट्रैक्ट का renew न होना एक गलती है
    • CVE के federated framework और openness की वजह से दूसरे stakeholders संचालन संभाल सकते हैं
    • हालांकि, ऑपरेटर बदलने पर transition process कठिन हो सकती है

vulnerability ecosystem में CVE की भूमिका

  • MITRE का CVE program global cybersecurity ecosystem का एक बुनियादी स्तंभ है और vulnerability identification तथा defenders के vulnerability management programs को दिशा देने वाला de facto standard है
  • CVE data vulnerability management, cyber threat intelligence, security information, event management, endpoint detection·response जैसे क्षेत्रों के vendor products को base data उपलब्ध कराता है
  • NIST, National Vulnerability Database, यानी NVD, के जरिए MITRE CVE records में अतिरिक्त जानकारी जोड़ता है
  • CISA भी NVD प्रोग्राम की फंडिंग कमी के जवाब में vulnrichment प्रोग्राम के माध्यम से MITRE CVE records को समृद्ध करता रहा है
  • MITRE, CVE records का मूल लेखक है और security flaw identification के लिए एक प्रमुख स्रोत की भूमिका निभाता है

रुकावट की स्थिति में अनुमानित श्रृंखलाबद्ध प्रभाव

  • Security Errata प्रोजेक्ट के CSO और पूर्व CVE Board member Brian Martin का मानना है कि MITRE की फंडिंग खत्म होने पर global vulnerability management पर तुरंत श्रृंखलाबद्ध असर पड़ेगा
  • federated model और CVE Numbering Authorities, यानी CNA, फिर IDs आवंटित करके जानकारी MITRE को भेजकर तेज़ी से प्रकाशित नहीं कर पाएंगे
  • NVD, CVE पर आधारित है, और पहले से 30,000 से अधिक vulnerabilities के backlog तथा 80,000 से अधिक “deferred” items के बोझ से जूझ रहा है
    • “deferred” का मतलब ऐसे items हैं जिनका फिलहाल पूर्ण विश्लेषण नहीं किया जाएगा
  • अपनी vulnerability databases चलाने वाली कंपनियों को भी alternative intelligence sources खोजने पड़ सकते हैं
  • चीन और रूस सहित देशों के vulnerability databases, दुनिया भर के सैकड़ों से हजारों national·regional CERT, और CVE/NVD पर निर्भर enterprise vulnerability management programs तक प्रभावित हो सकते हैं

कॉन्ट्रैक्ट समाप्ति के कारण और सरकारी बजट स्थिति

  • DHS 25 साल से फंडिंग दे रहे CVE प्रोग्राम का कॉन्ट्रैक्ट खत्म क्यों करना चाहता था, यह स्पष्ट नहीं है
  • ट्रंप प्रशासन Elon Musk की Department of Government Efficiency initiative के केंद्र में रखकर सरकारी खर्च में व्यापक कटौती करता रहा है
  • DHS, CISA के जरिए MITRE CVE प्रोग्राम को फंड करता रहा है, और CISA पहले ही दो बार फंडिंग कटौती झेल चुका है
  • रिपोर्ट्स के मुताबिक CISA कर्मचारियों के लगभग 40%, यानी करीब 1,300 लोग, अब भी छंटनी के दायरे में हैं
  • सूत्रों का कहना है कि संघीय सरकार के दूसरे हिस्सों में हुई बजट कटौती की तुलना में CVE प्रोग्राम का संचालन खर्च छोटा है और “वित्तीय स्थिति को हिला देने” जितना बड़ा नहीं है

निजी विकल्प और अस्थायी प्रतिक्रिया

  • अगर कॉन्ट्रैक्ट विस्तार नहीं होता, तो 2025 अप्रैल 16 मध्यरात्रि से MITRE CVE database में नए records जोड़ना बंद कर देता
  • मौजूदा CVE records GitHub पर उपलब्ध कराए जाने थे
  • VulnCheck के Patrick Garrity का मानना है कि NIST NVD की पिछले साल की विफलता के बाद vulnerability ecosystem और कमजोर हो गया है, और CVE प्रोग्राम पर असर defenders तथा security community के लिए हानिकारक हो सकता है
  • MITRE या CVE प्रोग्राम की कौन-सी सेवाएँ प्रभावित होंगी, इस अनिश्चितता के बीच VulnCheck ने पहले से 2025 के लिए 1,000 CVE reserve कर लिए
  • CISA ने कहा कि CVE का उपयोग सरकार और उद्योग तकनीकी vulnerabilities को disclose, classify और share करने के लिए करते हैं, और यह ऐसी vulnerability information से भी जुड़ा है जो राष्ट्रीय critical infrastructure को जोखिम में डाल सकती है

1 टिप्पणियां

 
GN⁺ 2025-04-17
Hacker News की टिप्पणियाँ
  • इससे जुड़ी चल रही threads हैं: CVE Foundation - https://news.ycombinator.com/item?id=43704430, Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • MITRE के साथ contract extend किया गया है: https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-program-funding-cut-what-it-means-and-what-to-do-next/
    शायद यह अनिश्चितकालीन extension होगा। DOGE बेवकूफों का जमावड़ा हो सकता है, लेकिन पूरे DOD में सिर्फ बेवकूफ ही नहीं हैं

    • मेरा अनुमान है कि अगले साल इसे चरणबद्ध तरीके से हटाया जाएगा। दीर्घकालिक लक्ष्य शायद CVE प्रोग्राम को industry-led consortium जैसे ढाँचे में बदलना है
      पता नहीं आपने ध्यान दिया या नहीं, लेकिन ये लोग zero-based budgeting के हिसाब से चलते हैं। पहले सब कुछ काटो, फिर जो सच में ज़रूरी लगे वही वापस जोड़ो। पहले काटो, बाद में सवाल पूछो
      यह भी महत्वपूर्ण है कि MITRE एक DoD contractor है। CVE प्रोग्राम को अमेरिकी सैन्य funding पर चलने वाली कंपनी के हाथ में रखना, neutral और global trust पर टिके ecosystem में conflict of interest की चिंता पैदा कर सकता है
    • follow-up developments के बाद पुरानी article-based thread को कैसे handle किया जाए, यह हमेशा मुश्किल होता है। लगता है कि नई article पर नई thread खोलनी चाहिए, लेकिन अभी-अभी बड़ी चर्चा हो चुकी होती है, और “ठीक हो गया” जैसी खबर मूल सनसनी की तुलना में कम दिलचस्प लगती है, इसलिए आमतौर पर traction नहीं पाती
      आजकल मैं मूल title के अंत में [fixed] जोड़कर readers को status change बताने की कोशिश कर रहा हूँ। नहीं जानता यह सबसे अच्छा तरीका है या नहीं, और यह भी पक्का नहीं कि मामला सच में सुलझा है, लेकिन कुछ न करने से बेहतर लगता है। मौजूदा thread की article और title बदल देना बहुत बड़ा backstab जैसा लग सकता है
    • लगता है यह अभी FPDS पर नहीं आया है: https://www.fpds.gov/ezsearch/fpdsportal?q=PIID%3A%2270RCSJ24FR0000018%22&templateName=1.5.3&indexName=awardfull&x=0&y=0&sortBy=SIGNED_DATE&desc=Y
      contract आज expire होना था, लेकिन मार्च 2026 तक का option period था, और DHS को बस वह option exercise करना था
      संशोधन: contract end date आज 16 अप्रैल है, इसलिए अगर option exercise नहीं किया गया होता, तो आज आधी रात को काम रुक गया होता। government contracts में ऐसी चीजें आख़िरी पल तक जाना आम है, और option exercise में देरी भी अक्सर होती है। लेकिन फिर इस मामले में ही इतना हंगामा क्यों हुआ? क्या CISA ने MITRE को संकेत दिया था कि वह option exercise नहीं करेगा?
    • article में लिखा है, “25 साल बाद DHS ने contract खत्म करने का फैसला क्यों किया, यह स्पष्ट नहीं है,” लेकिन फिर अचानक extension हो गया। समझ नहीं आता कि इसका DOGE से क्या संबंध है
  • काश यह स्थिति पैदा ही न होती। सोचता हूँ क्या DHS के भीतर किसी siloed structure की वजह से नुकसान को पर्याप्त बड़ा नहीं माना गया
    इस क्षेत्र का शायद ही कोई expert ज़ोर देकर कहता कि “इसे बंद कर दो, इसकी ज़रूरत नहीं है।” अगर पूछा गया होता, तो वे ज़ोर से कहते, “कृपया इसे मत छुओ, इसकी ज़रूरत है”
    हाँ, यह संभव लगता है कि ऊपर के finance executives ने “खुद जांच” करते हुए यह गलत समझ लिया हो कि दूसरे लोग CVE का इस्तेमाल कैसे करते हैं और funding कौन देता है

    • यह cost-benefit analysis पर आधारित सावधानीपूर्ण फैसला नहीं है। यह मौजूदा administration की “हर चीज़ को लापरवाही और अंधाधुंध तरीके से काटो” नीति के अनुरूप एक political order है
    • हम अभी एक coup के बीच में हैं। Palantir जैसी घिनौनी कंपनी, ऐसा ही कुछ करने के नाम पर 100 गुना ज़्यादा पैसा लेगी
    • मामला कुछ ऐसा लगता है: “हम MITRE को कितना दे रहे हैं? Bigballs gang तो एक हफ्ते में इससे बेहतर system बना देगी और xAI के साथ integrate कर देगी। इसमें मुश्किल ही क्या है? DHS वाले को xAI contract draft भेजो”
    • National Vulnerability Database एक साल से भी ज़्यादा समय से CVE flow के साथ तालमेल नहीं बिठा पा रहा है:
      https://anchore.com/blog/national-vulnerability-database-opaque-changes-and-unanswered-questions/
      https://www.cyberreport.io/news/cve-backlog-update-the-nvd-struggles-as-attackers-change-tactics?article=98084
      https://www.ibm.com/think/insights/cve-backlog-update-nvd-struggles-attackers-change-tactics
      और इसके अलावा भी बहुत कुछ है। यह कई महीनों से पूरी तरह अव्यवस्थित रहा है, इसलिए इस बिंदु पर approach को तेज़ी से बदलने का विचार भी हो सकता है
    • यह DOGE के 20-कुछ उम्र वाले लोगों के हाथों प्रभावित मामला है। अगर DOGE NSA और NRO में घुस गया, तो वह कौन-सी जानकारी चुराकर अपनी hard disk में भरेगा, यह सोचकर डर लगता है
      यह सब मौजूदा शासन के आपराधिक कृत्य हैं
  • CVE बोर्ड के सदस्यों के एक गठबंधन ने “Common Vulnerabilities and Exposures (CVE) Program की दीर्घकालिक टिकाऊपन, स्थिरता और स्वतंत्रता सुनिश्चित करने” के लिए नई CVE Foundation शुरू की है
    https://www.thecvefoundation.org
    https://mastodon.social/@serghei/114346660986059236

    • ऐसे consortium को साफ तौर पर इस बात से बचना चाहिए कि वह न तो product vendors के कब्ज़े में जाए और न ही security companies के
      product vendors के पास CVE जारी करने की प्रक्रिया को अपने patch schedule के हिसाब से मोड़ने की प्रेरणा होती है, और security companies के पास CVE database तक प्राथमिक पहुंच पाकर प्रतिस्पर्धात्मक बढ़त लेने की प्रेरणा होती है
      किसी commercial funding से चलने वाले संगठन के लिए ऐसे कब्ज़े से बचना असंभव तो नहीं है, लेकिन आसान भी नहीं है। इससे तुरंत Mozilla Foundation और Google का संबंध याद आता है
    • अगर सरकार फंडिंग बंद कर दे, तो क्या यह काम मुफ्त में जारी रखने की बात हो रही है?
    • यह सचमुच प्रगति से ज़्यादा vulnerability phishing को संभव बनाने की एक हड़बड़ी वाली कोशिश जैसी लगती है। यह पोस्ट एक security startup चलाने वाले व्यक्ति ने डाली है, और साइट भी Google Sites पर है जिसे लोग Google में fraud के रूप में रिपोर्ट कर सकते हैं
      संपादन: चाहें तो मन भरकर downvote कर दें। हो सकता है मेरी भाषा बहुत कड़ी थी, इसलिए बात का सार धुंधला हो गया। यह दिलचस्प है कि security के गैर-विशेषज्ञ लोग नाम, उद्धरण और authority से कितनी आसानी से प्रभावित हो जाते हैं
      भरोसा एक दिन में नहीं बनता, और सच कहें तो कभी पूरी तरह बनता भी नहीं। information security professionals ऐसी supply-chain bypass जैसी चीज़ पर, जिसका भविष्य अनिश्चित हो, आसानी से भरोसा नहीं करेंगे। उम्मीद है कि यह सोच जल्द परखी न जाए, लेकिन कुछ स्तर की reliability और long-term automation ज़रूरी है। ज़रूरत किसी “foundation” की नहीं, बल्कि एक technical और व्यापक सहमति वाले system की है
  • असली irony यह है कि बहुत से Y Combinator founders और HN readers उसी पक्ष में थे जिसने ठीक ऐसी स्थिति को संभव बनाया, और अब वे हैरान हैं कि साँप अपनी ही पूँछ क्यों खा रहा है

    • शायद वे यही चाहते थे। क्योंकि यह सरकार की कई भूमिकाओं के privateकरण का हिस्सा हो सकता है
      वे, या कम से कम उनमें से कुछ, यह मान सकते हैं कि इस फ़ंक्शन पर कब्ज़ा करके इससे पैसा कमाया जा सकता है। यह recurring revenue stream है, एक मूल्यवान subscription model है, और ग्राहकों को यह सेवा सचमुच चाहिए। अगर ज़रूरत न भी हो, तो IT security के नाम पर subscription अनिवार्य करने वाला नया कानून बना दिया जाएगा
    • फंडिंग की कमी लगभग 20 लाख डॉलर की है। अमेरिका की कोई भी बड़ी कंपनी इस समस्या को तुरंत खत्म कर सकती है
    • बिल्कुल। उम्मीद है Y Combinator और उसके समर्थक अपने ancap fantasy land में खुशी-खुशी रह सकें
      वही दुनिया, जहाँ NOAA को तोड़ दिया गया है और climate change से और ताकतवर हुए super hurricanes की चेतावनी पाने के लिए आपको पैसे देने पड़ते हैं। वही climate change, जिसे इसी तरह के लापरवाह और बिना regulation वाले लालच ने पैदा किया है। अरबपति तो होने ही नहीं चाहिए, लेकिन करोड़पति भी नहीं
  • क्या मौजूदा CVE implementation में भी बड़ी समस्याएँ नहीं थीं? खासकर यह कि script kiddies और AI tools database को spam से भर रहे हैं, और security को गंभीरता से लेने वाले projects का दिए जाने वाले “score” पर लगभग कोई कहना नहीं है

    • CVE का सक्रिय उपभोक्ता होने के नाते, हाँ, बड़ी समस्याएँ हैं। लेकिन इससे बेहतर कुछ भी नहीं है, और बेहतर विचार भी नहीं हैं
      score ज़्यादातर बेकार हैं, इसलिए अगर वे गायब हो जाएँ तो शायद मुझे परवाह नहीं होगी; सच कहूँ तो मैं उन्हें देखता भी नहीं। फिर भी, लोग इन घटिया scores पर इतना गुस्सा क्यों होते हैं, यह मुझे पूरी तरह समझ नहीं आता
      अगर ऊँचे CVSS scores बहुत सारा काम पैदा कर रहे हैं, तो vulnerability management process ही टूटी हुई है। या फिर आप security नहीं, compliance का काम कर रहे हैं। अगर आपको compliance से नफ़रत है, तो CVSS scores उस पीड़ा की जड़ नहीं हैं
      “एक central list जो उन चीज़ों को स्थिर ID देकर इकट्ठा करती है जिनकी आपको परवाह हो भी सकती है और नहीं भी” बहुत मूल्यवान है
    • कोई random 9.8 score वाली critical vulnerability सामने आ जाती है, और मेरे environment में उसका प्रभाव 0 हो तब भी फ़र्क नहीं पड़ता। उस CVE की वजह से संगठन का Security Score मनमाने ढंग से 10 अंक गिर जाता है, और management पूछने लगती है कि कंपनी फिर से secure कब बनेगी, क्योंकि Security Score ही सफलता मापने वाला एकमात्र ठोस output है
    • score कभी भी अलग-अलग environments में इतना सटीक होने के लिए बने ही नहीं थे। दूसरे लोग उन पर कितना निर्भर थे, यह नहीं कह सकता, लेकिन जहाँ मैंने काम किया, वहाँ उन पर बहुत ज़्यादा निर्भरता नहीं थी
      फिर भी, score की समस्या पूरे CVE system को जला देने की अच्छी वजह नहीं है
    • मैंने कभी किसी को अपने code पर CVE scanner चलाकर जल्द थकते नहीं देखा
    • बेशक मौजूदा CVE implementation में समस्याएँ हैं। अगर शीर्षक “DHS CVE Program में सुधार और सरलीकरण का प्रस्ताव देता है” होता, तो शायद सब लोग तालियाँ बजाते
      “इसमें खामी है” से सीधे “तो इसे मार देते हैं” पर कूद जाना एक logical fallacy है। खामियों वाला security registry, किसी भी security registry के न होने से साफ तौर पर बेहतर है
  • अगर आपने open source software में CVE management किया है, तो आपको पहले से पता होगा कि NVD की funding में कटौती एक साल से अधिक समय से चल रही है
    अप्रैल 2024: https://nvd.nist.gov/general/news/nvd-program-transition-announcement
    NIST, National Vulnerability Database(NVD) को बनाए रखता है। यह राष्ट्रीय cybersecurity infrastructure का एक मुख्य हिस्सा है। software की बढ़ती संख्या, उसके साथ बढ़ती vulnerabilities, और संस्थाओं के बीच support में बदलाव के कारण vulnerabilities का backlog बढ़ रहा है। NVD को बेहतर बनाने के लिए industry, government, और अन्य stakeholder organizations के consortium जैसे long-term solutions पर भी विचार हो रहा है
    सितंबर 2024 Yocto Project, “An open letter to the CVE Project and CNAs”: https://github.com/yoctoproject/cve-cna-open-letter/blob/main/cve-cna-open-letter.txt
    “software में security और vulnerability handling लगातार अधिक महत्वपूर्ण होते जा रहे हैं। हाल की घटनाओं ने कई projects की issues की पहचान करने और समय पर उनके समाधान सुनिश्चित करने की क्षमता पर बुरा असर डाला है। यह बहुत चिंताजनक है। हाल तक हम अक्सर CVE project data पर नहीं, बल्कि उस जानकारी को जोड़ने वाले NVD data पर निर्भर रहे हैं।”
    5 साल पहले 2019 में मैंने Carnegie Mellon के CERT Director की एक प्रस्तुति तैयार करने में मदद की थी, और तब भी CVE backlog और resources की कमी का मुद्दा था। रिपोर्ट की गई vulnerabilities में से काफी को CVE number तक नहीं मिला था। उसके बाद queue बढ़ती गई, funding घटती गई, लेकिन views सालाना औसतन 100 से भी कम थे: https://www.youtube.com/watch?v=WmC65VrnBPI

    • यह पोस्ट मददगार नहीं थी और उलझाने वाली थी। अगर आज हुआ अचानक funding cutoff पहले की funding cuts से अलग है, तो इसे साफ़ तौर पर edit करके बताना चाहिए था, या आगे से ऐसा ही लिखना चाहिए
    • मैं जानना चाहता हूँ कि “एक साल से अधिक समय से चल रहा है” से ठीक-ठीक मतलब क्या है
      funding तो आज बंद हुई लगती है, और दोनों उद्धरणों से यही लगता है कि काम जारी है और वह महत्वपूर्ण है
      क्या इसका मतलब है कि NVD पर किसी न किसी तरह का खतरा एक साल से अधिक समय से था? बस यह पक्का करना चाहता हूँ कि मैं सही समझ रहा हूँ
    • उस पोस्ट में funding cuts का कोई ज़िक्र नहीं है
      उसमें बस यह कहा गया है कि software vulnerabilities की संख्या इतनी बढ़ गई है कि CVE और NVD projects के लिए उसके साथ चलना मुश्किल हो गया है
      इस thread में राजनीतिक spin फैलाना बंद होना चाहिए
    • मौजूदा administration के बारे में नकारात्मक समझी जा सकने वाली हर HN पोस्ट में इस तरह की बातें दिखती हैं। कोई अस्पष्ट झूठा दावा किया जाता है, फिर उसके साथ ऐसा explanation या quote जोड़ दिया जाता है जो उस दावे को support ही नहीं करता
  • समाज के लिए महत्वपूर्ण लेकिन जिनके अस्तित्व के बारे में भी ज़्यादातर लोगों को पता नहीं होता, ऐसी चीज़ों में से पिछले कुछ हफ्तों में और क्या चुपचाप गायब हो गया होगा, यह सोचकर हैरानी होती है
    हमें यह मामला इसलिए पता चला क्योंकि हम जानते हैं कि यह महत्वपूर्ण है। जिन चीज़ों के बारे में हमें पता ही नहीं, वे क्या हैं?

    • जो लोग इसका समर्थन कर रहे थे, उन्हें फ़र्क नहीं पड़ता। अमेरिकियों की relative stability और quality of life उन institutions पर टिकी हुई है जिन्हें वे या तो लगभग समझते नहीं, या जिनके बारे में उन्होंने कभी सुना तक नहीं। शायद उन्हें खुद गर्म चूल्हे को छूकर देखना पड़े
    • https://www.project2025.observer/ पर कुछ चीज़ें सूचीबद्ध हैं। बेशक, वह सिर्फ़ उन संस्थाओं तक सीमित है जिन्हें Trump पक्ष के लोग जानते हैं और साफ़ तौर पर नष्ट करना चाहते हैं, लेकिन शुरुआत के लिए ठीक है
  • मैं इसे जितना संभव हो उतनी सद्भावना के साथ समझने की कोशिश करूँ, फिर भी इसके लिए कोई non-malicious reason सच में सोच नहीं पा रहा

    • मेरे हिसाब से यह अज्ञान और अहंकार है। लगता है अमेरिका technology और science leadership खोने की राह पर है
      मौजूदा leadership को वे चीज़ें समझ नहीं आतीं जो चमकदार नहीं हैं। सोचता हूँ food safety को वे कब पीछे धकेलेंगे। RFK को शायद salmonella रोकने वाले कुछ vitamins के बारे में पता होगा
    • यह बेहद मूर्खतापूर्ण है। इसका justification जो भी हो, वह इसके भयानक नतीजों जितना महत्वपूर्ण नहीं है
      यह उन चीज़ों में से एक है जो सरकार public good के लिए करती है
    • यह tragedy of the commons है। NVD और CVE project कई सालों से backlog और funding problems झेल रहे हैं, और ज़्यादातर security vendors समय पर vulnerability information देने में उत्साही नहीं हैं। क्योंकि इससे उनका comparative advantage कम हो सकता है
      या वे अपने ही alternative risk prioritization scores बेचना चाहते हैं। हर company NVD और CVE data का खुशी-खुशी उपयोग करती है, लेकिन competitors की मदद करने वाली subsidy देना नहीं चाहती। खासकर cybersecurity जैसे बेहद competitive industry में
    • वजह government spending घटाने की भी हो सकती है। मुझे तो यह कोई वास्तविक government organization नहीं लगती, इसलिए शायद दूसरी organizations funding दे सकती हैं। यह भी जानना रोचक होगा कि इस organization पर हर साल कितना खर्च होता है
      MITRE Corporation और भी बहुत से काम करती है और उसका annual revenue 2.2 billion dollars लगता है
      ट्रिलियन-dollar companies इस system से फ़ायदा उठाती हैं और योगदान भी देती हैं, तो क्या वे इस critical infrastructure के इस छोटे से हिस्से के लिए अपने revenue का लगभग 0.01% नहीं दे सकतीं?
    • व्यक्तिगत तौर पर यह एक चुभने वाला विषय है, लेकिन इसी वजह से मुझे लगता है कि steelmanning उल्टा असर करता है
      steelmanning एक बेकार-सा नया शब्द है जिसका उपयोग in-group signaling के अलावा किसी काम का नहीं। इसी अवधारणा के लिए पहले से एक बेहतर, अधिक सूक्ष्म और ऐतिहासिक रूप से समृद्ध शब्द “charitability” मौजूद था
      बड़ा फर्क यह है कि charitability सामने वाले का सम्मान करने से जुड़ा है। Steelmanning ज़्यादा इस बात के करीब है कि आप अपनी बुद्धिमत्ता से सामने वाले की दलील को उससे भी बेहतर बना दें
      charitability आपसी सम्मान की अवधारणा पर आधारित है, इसलिए अगर यह साफ़ हो कि कोई मुझे ज़रा भी सम्मान नहीं देता, तो मैं उससे सद्भावना से क्यों पेश आऊँ, यह पूछना जायज़ है। Steelmanning व्यक्ति और उसके तर्क को अलग करने की कोशिश करता है, और विडंबना यह है कि यह अहंकारी भी है और भोला भी
  • मूल कारण: layer 8 outage
    https://www.computerhope.com/jargon/l/layer8.htm