1 पॉइंट द्वारा GN⁺ 2025-04-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • CVE Foundation का उद्देश्य CVE Program के दीर्घकालिक संचालन को समर्थन देने वाला एक विश्वसनीय और स्थिर वैश्विक कम्युनिटी बनाना है
  • सबसे बड़ी चुनौती CVE Program को एकल funding stream पर निर्भरता से हटाकर एक विविधीकृत और स्थिर funding model में ले जाना है
  • vulnerability identification प्रक्रिया में भरोसा बढ़ाने के लिए भागीदारी, अंतरराष्ट्रीय कम्युनिटी सहयोग और पारदर्शिता को प्रमुख साधन बनाया गया है
  • फ़ाउंडेशन vulnerability identification को सभी के लिए अधिक आसान और अधिक भरोसेमंद प्रक्रिया बनाने में समर्थन देता है
  • CVE Program की स्थिरता funding structure के स्थिरीकरण और वैश्विक सहयोग के आधार को मजबूत करने, दोनों पर निर्भर है

CVE Program संचालन आधार का स्थिरीकरण

  • CVE Foundation का लक्ष्य CVE Program के स्थिर भविष्य को सुनिश्चित करना है
  • वर्तमान फोकस CVE Program को एकल funding stream से विविधीकृत और स्थिर funding model में स्थानांतरित करने में समर्थन देना है

vulnerability identification की विश्वसनीयता मजबूत करना

1 टिप्पणियां

 
GN⁺ 2025-04-17
Hacker News की राय
  • संशोधनों को देखकर लगता है कि कॉन्ट्रैक्ट आख़िरी समय में रिन्यू हुआ
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • क्या इसे पुष्टि करने वाला Forbes के अलावा कोई स्रोत है?
  • वैधता पर सवाल उठाने वाली टिप्पणियों के बारे में: CVE बोर्ड सदस्यों में से एक की LinkedIn पोस्ट है। वास्तव में यह यहाँ सूची[0] में पहला व्यक्ति है: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    अगर दूसरे CVE बोर्ड सदस्यों के संपर्क या सार्वजनिक चैनल ढूँढे जाएँ, तो शायद इससे जुड़ी और जानकारी मिल सके
    [0]: https://www.cve.org/programorganization/board

  • इससे जुड़े चल रहे थ्रेड:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • अब समय आ गया है कि सॉफ्टवेयर इंडस्ट्री की सबसे बड़ी कंपनियाँ किसी औपचारिक consortium जैसी संरचना में आगे आएँ। सबसे बड़ा फायदा इन्हीं को मिलता है, इसलिए ऐसा मॉडल समझ में आता है
    बड़ी tech कंपनियाँ अपने प्रोडक्ट्स की security के लिए CVE पर निर्भर हैं, और उनके पास भारी revenue और dedicated security teams हैं, इसलिए वे CVE के संचालन खर्च आसानी से उठा सकती हैं। consortium मॉडल में ज़िम्मेदारी भी अपेक्षाकृत निष्पक्ष तरीके से बाँटी जा सकती है। ज़िम्मेदारी साझा, लाभ भी साझा, और security सबकी समस्या है

    • हाहा, CVE तो मूल रूप से इसलिए बना था क्योंकि इंडस्ट्री ने vulnerabilities को एकसमान और पारदर्शी तरीके से ट्रैक और रिपोर्ट करने से इनकार कर दिया था। विकल्प दिया जाए तो कंपनियाँ लगभग हमेशा आसान रास्ता चुनती हैं, और अगर बाहरी जवाबदेही हटा दी जाए तो vulnerability management program कुछ वर्षों नहीं, दशकों पीछे जा सकता है
      आम तौर पर वकीलों और CTOs को CVE का गायब होना या इंडस्ट्री के हाथ में जाना पसंद आ सकता है। स्रोत: security में 20 साल से ज़्यादा काम किया है
    • जब सॉफ्टवेयर इंडस्ट्री की सबसे बड़ी कंपनियाँ आगे ही आ रही हैं, तो अच्छा होगा अगर वे उन डेवलपर्स पर 5 डॉलर ही फेंक दें जो उन open source packages को maintain करते हैं जिन पर आपकी trillion-dollar company निर्भर करती है
      वही packages जिन्हें 50,000 leetcoder खुद बना भी नहीं सकते और जिनके बिना जी भी नहीं सकते
    • security के मामले में जिस पर मैं कभी भरोसा नहीं करूँगा, वह है अमेरिकी BigTech। consortium हो या न हो, इस विचार में संभावना नहीं है
      ज़रूरत है checks, balances और oversight वाली एक अंतरराष्ट्रीय cyber threat intelligence network की। अगर सवाल है “पैसा कौन देगा?”, तो सवाल यह भी होना चाहिए कि “tech इंडस्ट्री से असली मुनाफ़ा किसे होता है?”
  • यह security का मामला है, इसलिए सबसे बुरा मानकर चलना चाहिए। जब तक MITRE handover की पुष्टि नहीं करता, इसे वैध नहीं माना जा सकता, और पुष्टि हो जाने पर भी सवाल उठाने की पर्याप्त गुंजाइश रहेगी

  • मज़ेदार बात यह है कि लोग सरकार से भी Facebook की तरह ‘तेज़ी से चलो और चीज़ें तोड़ो’ कहते रहते हैं, जबकि Facebook इस प्रक्रिया पर इस साल $60B~$65B खर्च करने वाला है
    लेकिन जब सरकार तेज़ी से चलकर चीज़ें तोड़ती है, तो किसी तरह उसमें ‘न्यूनतम लागत’ भी शामिल मान ली जाती है। “तेज़, सस्ता, अच्छा — इनमें से दो चुनो” वाली बात याद आती है

  • कई दशक पहले system administration से software development में आने के बाद से मैंने security vulnerabilities को सक्रिय रूप से ट्रैक नहीं किया। आजकल मैं ज़्यादातर चर्चित vulnerabilities पर खबरें पढ़ता हूँ, और cert की तुलना में CVE कहीं ज़्यादा दिखता है
    पहले मैं cert देखता था: https://www.kb.cert.org/vuls/ अभी जल्दी से खोजा तो यह अब भी मौजूद है। दोनों में फर्क या रिश्ता क्या है?

    • सबसे बड़ा फर्क यह है कि CVE को कल अमेरिकी सरकार ने बिना किसी पूर्व सूचना के बंद कर दिया, और program आज खत्म हो रहा है
  • सोच रहा हूँ MITRE का बजट कितना था। CISA के CVE program का बजट अलग से सार्वजनिक नहीं दिखता, लेकिन जहाँ तक मैंने देखा है, यह हर साल कई करोड़ डॉलर के स्तर पर है
    CVE program महत्वपूर्ण है, लेकिन यह कुछ ज़्यादा लगता है

    • $40M प्रति वर्ष
  • अगर इस तरह के डेटा के लिए decentralized database चाहिए, तो शायद blockchain सच में एक अच्छा उपयोग हो सकता है
    consensus चाहिए, यह immutable होना चाहिए, और distributed होना चाहिए। जिसे भी CVE database चाहिए, वह BitTorrent या कहीं से भी ledger की कॉपी लेकर पूरा डेटा या updates parse कर सकता है। CVE में updates इतने ज़्यादा भी नहीं होते, और वैसे भी सब कुछ स्थायी रूप से ट्रैक करना पड़ता है। updates को chain में एक और entry जोड़कर संभाला जा सकता है, और किसी दुर्भावनापूर्ण actor के लिए मनमानी छेड़छाड़ करना भी मुश्किल होगा

    • न consensus की ज़रूरत है, न immutable होने की। यह बस advisory data है। कोई मालिक अगर अपने repository में CVE data को censor या manipulate भी करे, तो उसे उपयोगकर्ताओं को परेशान करने के अलावा कुछ हासिल नहीं होगा
      एक central database और उसके mirrors काफ़ी हैं, और अब तक यही तरीका ठीक चला है। ज़रूरत इस बात की है कि डेटा को स्वतंत्र रूप से इस्तेमाल और साझा किया जा सके, और यदि संभव हो तो दूसरी संस्थाएँ भी software vulnerabilities को classify करें ताकि कुछ हद तक redundancy और replication मिल सके
  • काश यह सच हो, लेकिन ठोस जानकारी लगभग नहीं है। ये लोग कहते हैं कि वे घोषणा के जवाब में भी काम कर रहे हैं, और यह भी कि वे एक साल से तैयारी कर रहे थे
    अगर आख़िरी बात वाकई इतनी सावधानी से तैयार की गई होती, तो शायद वे पहले ही कुछ घोषित कर चुके होते, इसलिए संदेह होता है। यहाँ कई प्रयासों के बँट जाने की संभावना दिखती है। अच्छा होगा अगर सब लोग एक ही समाधान के आसपास इकट्ठा हों, लेकिन पता नहीं क्या यह वही समाधान है। अमेरिका-आधारित non-profit शायद सबसे अच्छा समाधान न हो