CVE फ़ाउंडेशन
(thecvefoundation.org)- CVE Foundation का उद्देश्य CVE Program के दीर्घकालिक संचालन को समर्थन देने वाला एक विश्वसनीय और स्थिर वैश्विक कम्युनिटी बनाना है
- सबसे बड़ी चुनौती CVE Program को एकल funding stream पर निर्भरता से हटाकर एक विविधीकृत और स्थिर funding model में ले जाना है
- vulnerability identification प्रक्रिया में भरोसा बढ़ाने के लिए भागीदारी, अंतरराष्ट्रीय कम्युनिटी सहयोग और पारदर्शिता को प्रमुख साधन बनाया गया है
- फ़ाउंडेशन vulnerability identification को सभी के लिए अधिक आसान और अधिक भरोसेमंद प्रक्रिया बनाने में समर्थन देता है
- CVE Program की स्थिरता funding structure के स्थिरीकरण और वैश्विक सहयोग के आधार को मजबूत करने, दोनों पर निर्भर है
CVE Program संचालन आधार का स्थिरीकरण
- CVE Foundation का लक्ष्य CVE Program के स्थिर भविष्य को सुनिश्चित करना है
- वर्तमान फोकस CVE Program को एकल funding stream से विविधीकृत और स्थिर funding model में स्थानांतरित करने में समर्थन देना है
vulnerability identification की विश्वसनीयता मजबूत करना
- फ़ाउंडेशन vulnerability identification को अधिक भरोसेमंद बनाने के लिए भागीदारी, अंतरराष्ट्रीय कम्युनिटी सहयोग और पारदर्शिता का उपयोग करता है
- लक्ष्य यह सुनिश्चित करने में मदद करना है कि vulnerability identification सभी के लिए अधिक आसान और अधिक भरोसेमंद प्रक्रिया बने
1 टिप्पणियां
Hacker News की राय
संशोधनों को देखकर लगता है कि कॉन्ट्रैक्ट आख़िरी समय में रिन्यू हुआ
https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...
वैधता पर सवाल उठाने वाली टिप्पणियों के बारे में: CVE बोर्ड सदस्यों में से एक की LinkedIn पोस्ट है। वास्तव में यह यहाँ सूची[0] में पहला व्यक्ति है: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
अगर दूसरे CVE बोर्ड सदस्यों के संपर्क या सार्वजनिक चैनल ढूँढे जाएँ, तो शायद इससे जुड़ी और जानकारी मिल सके
[0]: https://www.cve.org/programorganization/board
इससे जुड़े चल रहे थ्रेड:
CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
Replacing CVE - https://news.ycombinator.com/item?id=43708409
अब समय आ गया है कि सॉफ्टवेयर इंडस्ट्री की सबसे बड़ी कंपनियाँ किसी औपचारिक consortium जैसी संरचना में आगे आएँ। सबसे बड़ा फायदा इन्हीं को मिलता है, इसलिए ऐसा मॉडल समझ में आता है
बड़ी tech कंपनियाँ अपने प्रोडक्ट्स की security के लिए CVE पर निर्भर हैं, और उनके पास भारी revenue और dedicated security teams हैं, इसलिए वे CVE के संचालन खर्च आसानी से उठा सकती हैं। consortium मॉडल में ज़िम्मेदारी भी अपेक्षाकृत निष्पक्ष तरीके से बाँटी जा सकती है। ज़िम्मेदारी साझा, लाभ भी साझा, और security सबकी समस्या है
आम तौर पर वकीलों और CTOs को CVE का गायब होना या इंडस्ट्री के हाथ में जाना पसंद आ सकता है। स्रोत: security में 20 साल से ज़्यादा काम किया है
वही packages जिन्हें 50,000 leetcoder खुद बना भी नहीं सकते और जिनके बिना जी भी नहीं सकते
ज़रूरत है checks, balances और oversight वाली एक अंतरराष्ट्रीय cyber threat intelligence network की। अगर सवाल है “पैसा कौन देगा?”, तो सवाल यह भी होना चाहिए कि “tech इंडस्ट्री से असली मुनाफ़ा किसे होता है?”
यह security का मामला है, इसलिए सबसे बुरा मानकर चलना चाहिए। जब तक MITRE handover की पुष्टि नहीं करता, इसे वैध नहीं माना जा सकता, और पुष्टि हो जाने पर भी सवाल उठाने की पर्याप्त गुंजाइश रहेगी
मज़ेदार बात यह है कि लोग सरकार से भी Facebook की तरह ‘तेज़ी से चलो और चीज़ें तोड़ो’ कहते रहते हैं, जबकि Facebook इस प्रक्रिया पर इस साल $60B~$65B खर्च करने वाला है
लेकिन जब सरकार तेज़ी से चलकर चीज़ें तोड़ती है, तो किसी तरह उसमें ‘न्यूनतम लागत’ भी शामिल मान ली जाती है। “तेज़, सस्ता, अच्छा — इनमें से दो चुनो” वाली बात याद आती है
कई दशक पहले system administration से software development में आने के बाद से मैंने security vulnerabilities को सक्रिय रूप से ट्रैक नहीं किया। आजकल मैं ज़्यादातर चर्चित vulnerabilities पर खबरें पढ़ता हूँ, और cert की तुलना में CVE कहीं ज़्यादा दिखता है
पहले मैं cert देखता था: https://www.kb.cert.org/vuls/ अभी जल्दी से खोजा तो यह अब भी मौजूद है। दोनों में फर्क या रिश्ता क्या है?
सोच रहा हूँ MITRE का बजट कितना था। CISA के CVE program का बजट अलग से सार्वजनिक नहीं दिखता, लेकिन जहाँ तक मैंने देखा है, यह हर साल कई करोड़ डॉलर के स्तर पर है
CVE program महत्वपूर्ण है, लेकिन यह कुछ ज़्यादा लगता है
अगर इस तरह के डेटा के लिए decentralized database चाहिए, तो शायद blockchain सच में एक अच्छा उपयोग हो सकता है
consensus चाहिए, यह immutable होना चाहिए, और distributed होना चाहिए। जिसे भी CVE database चाहिए, वह BitTorrent या कहीं से भी ledger की कॉपी लेकर पूरा डेटा या updates parse कर सकता है। CVE में updates इतने ज़्यादा भी नहीं होते, और वैसे भी सब कुछ स्थायी रूप से ट्रैक करना पड़ता है। updates को chain में एक और entry जोड़कर संभाला जा सकता है, और किसी दुर्भावनापूर्ण actor के लिए मनमानी छेड़छाड़ करना भी मुश्किल होगा
एक central database और उसके mirrors काफ़ी हैं, और अब तक यही तरीका ठीक चला है। ज़रूरत इस बात की है कि डेटा को स्वतंत्र रूप से इस्तेमाल और साझा किया जा सके, और यदि संभव हो तो दूसरी संस्थाएँ भी software vulnerabilities को classify करें ताकि कुछ हद तक redundancy और replication मिल सके
काश यह सच हो, लेकिन ठोस जानकारी लगभग नहीं है। ये लोग कहते हैं कि वे घोषणा के जवाब में भी काम कर रहे हैं, और यह भी कि वे एक साल से तैयारी कर रहे थे
अगर आख़िरी बात वाकई इतनी सावधानी से तैयार की गई होती, तो शायद वे पहले ही कुछ घोषित कर चुके होते, इसलिए संदेह होता है। यहाँ कई प्रयासों के बँट जाने की संभावना दिखती है। अच्छा होगा अगर सब लोग एक ही समाधान के आसपास इकट्ठा हों, लेकिन पता नहीं क्या यह वही समाधान है। अमेरिका-आधारित non-profit शायद सबसे अच्छा समाधान न हो