CVE फाउंडेशन

 (thecvefoundation.org)
1 पॉइंट द्वारा GN⁺ 2025-04-17 | 1 टिप्पणियां | WhatsApp पर शेयर करें
  • CVE Foundation की स्थापना CVE Program की दीर्घकालिक स्थिरता और स्वतंत्रता सुनिश्चित करने के लिए की गई है
  • CVE Program पिछले 25 वर्षों से वैश्विक साइबर सुरक्षा इंफ्रास्ट्रक्चर का एक महत्वपूर्ण स्तंभ रहा है
  • अमेरिकी सरकार का कॉन्ट्रैक्ट समाप्त होने के कारण CVE Program के स्वतंत्र संचालन की आवश्यकता उभरकर सामने आई है
  • CVE Foundation एक non-profit संगठन के रूप में उच्च-गुणवत्ता वाली vulnerability identification लगातार उपलब्ध कराता रहेगा
  • यह अंतरराष्ट्रीय साइबर सुरक्षा समुदाय के लिए एक महत्वपूर्ण अवसर प्रदान करता है

CVE फाउंडेशन की स्थापना की पृष्ठभूमि

  • CVE Foundation आधिकारिक रूप से स्थापित किया गया है, ताकि CVE Program की दीर्घकालिक स्थिरता और स्वतंत्रता सुनिश्चित करने के लिए एक आधार तैयार किया जा सके
  • CVE Program अमेरिकी सरकार के फंडिंग समर्थन से संचालित होता रहा है, लेकिन एकल सरकारी प्रायोजन पर निर्भर संरचना को लेकर चिंताएँ उठी हैं

CVE Program का महत्व

  • CVE वैश्विक साइबर सुरक्षा ecosystem का एक मुख्य तत्व है, और यह सुरक्षा पेशेवरों द्वारा रोज़ाना उपयोग किया जाने वाला एक महत्वपूर्ण संसाधन है
  • CVE identifiers और data security tools, advisories, threat intelligence और response के लिए अनिवार्य हैं

CVE Foundation की भूमिका

  • CVE Foundation vulnerability management ecosystem में single point of failure को हटाता है, और यह सुनिश्चित करता है कि CVE Program वैश्विक भरोसा प्राप्त समुदाय-नेतृत्व वाली initiative बना रहे
  • यह अंतरराष्ट्रीय साइबर सुरक्षा समुदाय के अनुरूप governance स्थापित करने का अवसर प्रदान करता है

आगे की योजना

  • CVE Foundation संरचना, transition plan और community participation के अवसरों के बारे में जानकारी प्रदान करेगा
  • अतिरिक्त जानकारी या पूछताछ के लिए info@thecvefoundation.org पर संपर्क किया जा सकता है

संबंधित पढ़ाई

1 टिप्पणियां

 
GN⁺ 2025-04-17
Hacker News टिप्पणियाँ
  • CVE बोर्ड के एक सदस्य की LinkedIn पोस्ट का लिंक साझा करते हुए उल्लेख किया गया कि अन्य बोर्ड सदस्यों की संपर्क जानकारी और संबंधित जानकारी प्रसारण प्लेटफ़ॉर्मों पर भी मिल सकती है
  • यह सुधार बताया गया कि अनुबंध आख़िरी क्षण में नवीनीकृत किया गया था
  • मेरा मानना है कि software industry की प्रमुख कंपनियों के लिए अब समय आ गया है कि वे एक आधिकारिक consortium के माध्यम से आगे आएँ
    • यह मॉडल उचित है क्योंकि सबसे बड़ा लाभ उन्हें ही मिलता है
    • बड़ी tech कंपनियाँ CVE के माध्यम से अपने उत्पादों की सुरक्षा करती हैं
    • उनके पास भारी राजस्व और समर्पित security teams हैं, इसलिए वे CVE संचालन को आसानी से समर्थन दे सकती हैं
    • consortium approach ज़िम्मेदारी को निष्पक्ष रूप से बाँटता है
    • security सभी की समस्या है
  • संबंधित चल रहे thread का लिंक साझा किया गया
  • चूँकि यह security मुद्दा है, इसलिए सबसे खराब स्थिति मानकर चलना चाहिए, और जब तक MITRE अधिग्रहण की पुष्टि न करे, इसे वैध नहीं मानना चाहिए
  • MITRE के budget को लेकर जिज्ञासा है, और यद्यपि CVE program के लिए CISA की funding स्पष्ट रूप से अलग नहीं दिखती, फिर भी मैंने देखा है कि यह सालाना करोड़ों डॉलर के स्तर पर है
  • system administration से software development में आने के बाद से security vulnerabilities पर सक्रिय रूप से नज़र नहीं रखी, और आजकल high-profile vulnerabilities पर खबरें पढ़ता हूँ
    • CERT की तुलना में CVE ज़्यादा दिखाई देता है
    • CERT के अंतर और उसके संबंध के बारे में जिज्ञासा है
  • यदि यह स्थिति बनी रहती है, तो मुझे लगता है कि यह पहले से बेहतर परिणाम है
  • press release में जानकारी बहुत कम है, इसलिए नकारात्मक टिप्पणियाँ ज़्यादा हैं, लेकिन इसे वैध मानने का कारण है इसलिए समर्थन करता हूँ
  • आशा है कि यह स्थिति वैध हो
    • कहा गया है कि वे घोषणा के जवाब में काम कर रहे हैं और एक साल से इसकी योजना बना रहे थे, लेकिन अगर आख़िरी हिस्सा इतनी मज़बूती से योजनाबद्ध होता तो इसकी घोषणा पहले कर दी जाती, ऐसा संदेह है
    • लगता है कि प्रयास बँट सकते हैं
    • अच्छा होगा अगर सभी एक single solution का समर्थन करें, लेकिन यह वही solution है या नहीं, इस पर यक़ीन नहीं है
    • अमेरिका-आधारित non-profit संस्था शायद सर्वोत्तम समाधान न हो