واحدة من أهم أصول عالم الأمن السيبراني ، نقاط الضعف والتعرضات الشائعة (CVE) يبدو أن النظام الذي تديره MITER غير الربحية ومقره الولايات المتحدة يتجه نحو المتاعب بعد أن ظهر أن مسار العقد لمواصلة MITER لمواصلة إدارة المشروع نيابة عن السلطات الأمريكية ، من المقرر أن يسجل يوم الأربعاء 16 أبريل دون استبدال.
في رسالة إلى أعضاء مجلس إدارة Miter تم توزيعها اليوم ، تمت مراجعة نسخة منها من قبل Computer Weekly ، وقال Yosry Barsoum ، نائب الرئيس والمدير في مركز تأمين الوطن (CSH) في Miter ، إن الحكومة الأمريكية تبذل حاليًا “جهودًا كبيرة” لمواصلة دور Miter طويل الأمد في برنامج CVE.
وكتب بارسوم: “في حالة حدوث استراحة في الخدمة ، نتوقع تأثيرات متعددة على CVE ، بما في ذلك تدهور قواعد بيانات الضعف الوطنية والاستشارات ، وبائعي الأدوات ، وعمليات الاستجابة للحوادث ، وجميع أنواع البنية التحتية الحرجة”.
وأضاف: “لا يزال ميتري ملتزمًا بـ CVE كمورد عالمي. نشكرك كعضو في مجلس CVE لشراكتك المستمرة”.
أكد متحدث باسم Miter شرعية بيان Barsoum إلى الكمبيوتر الأسبوعي. ووصفوا برنامج CVE بأنه “عمود أساسي” للقطاع الإلكترونية ، مما يثبت صناعة عالمية تبلغ قيمتها ما يقرب من 40 مليار دولار (30 مليار جنيه إسترليني).
نظام CVE البالغ من العمر 25 عامًا تم تصميمه ليكون بمثابة مرجع ومستودع لثغرات الأمن السيبراني التي تم الكشف عنها ، وقد تم الاحتفاظ بها من قبل Miter منذ إنشائها في نهاية التسعينيات ، مع تمويل من القسم الوطني للأمن السيبراني التابع لوزارة الأمن الداخلي.
على مر السنين ، كان تأثيرها على عالم الأبحاث الأمنية ذات أهمية هائلة ، حيث يزود المدافعين الإلكترونيون ببيانات عن نقاط الضعف والتهديدات الناشئة ، والتي تورط بعضها في بعض أكبر الحوادث السيبرانية على الإطلاق – مثل WannaCry ، Solarwinds Sunburst و Log4J و Moveit إلى حد قليل.
سيكون عمله المستمر مألوفًا للغاية بفضل الحجم الهائل من CVES – يمكن التعرف عليه من خلال معرفاتها الفريدة التي تضم Letters CVE ، والعام ، ورمز رقمي – تم إصداره يوم الثلاثاء الثاني من كل شهر فيها التصحيح الثلاثاء تحديث.
إذا كان من المفترض أن تتوقف عن العمليات ، وحتى في انتظار تجديد العقد مؤقتًا ، فسيكون التأثير شديدًا في صناعة التكنولوجيا بأكملها. تصحيح الثلاثاء جانبا ، العدد الحالي من CVES من جميع الأنواع التي يتم اكتشافها والكشف عنها هو الركض في مستويات قياسية ولا يظهر أي علامات على التباطؤ.
سيكون تعطل نظام CVE هدية لكل من المجرمين السيبرانيين الذين يحركونه مالياً وجهات فاعلة في الدول القومية على حد سواء ، والذين سيكونون قادرين على الاستفادة بسرعة من أي وقت تعطل حيث يستمرون في البحث عن مواد الضعف الجديدة وتطويرها وتطويرها ، في حين أن أخصائيي الأمن يتدفقون في الظلام.
إن القدوم وسط تخفيضات حكومية عميقة ومؤلمة في الولايات المتحدة ، فإن المخاطر المحتملة على مواقف الأمن القومي للولايات المتحدة وحلفائها من ولايات مثل الصين وروسيا ، هي أيضًا خطيرة للغاية – وهي حقيقة لم تضيع على العديد من أعضاء مجتمع الأمن الذين انتقلوا إلى وسائل التواصل الاجتماعي في أواخر 15 أبريل لنشر الكلمة.
عند الكتابة على LinkedIn ، تكهن أحد المراقبين بأن انخفاض عقد Miter كان حسب التصميم ، والذي تم التخلص منه إلى جانب أمثال وكالة الأمن السيبراني والبنية التحتية (CISA) والمعهد الوطني للمعايير والتكنولوجيا (NIST) ، كانت الولايات المتحدة تهدأ من المؤسسات الأمنية الأساسية التي تعود إلى حد كبير على الإنترنت.
ملء الفجوة
ولكن مع روح المجتمع العرفي ، يصعد العديد من المهنيين السيبرانيين بالفعل لمعالجة الإغلاق الذي يلوح في الأفق. وقال باتريك غاريتي ، باحث أمني في Vulncheck: “نريد أن نتوقف لحظة لنشكر ميتري على عقود مساهماتها في برنامج CVE.
“بالنظر إلى عدم اليقين الحالي المحيط بالخدمات في Miter أو داخل برنامج CVE قد تتأثر ، فقد قام Vulncheck باحتفاظ 1000 CVES بشكل استباقي لعام 2025.”
وأضاف غاريتي ذلك خدمة الإبلاغ عن Vulncheck سيستمر في تعيين أرقام CVE طالما أنها يمكن أن تفعل ذلك.
وقال: “تراقب Vulncheck عن كثب الموقف لضمان استمرار كل من المجتمع وعملائنا في تلقي بيانات الضعف الدقيقة في الوقت المناسب”.
وأضاف ميتر أن سجلات CVE التاريخية ستستمر متوفر في جيثب.
