CVE財団

 (thecvefoundation.org)
1 ポイント 投稿者 GN⁺ 2025-04-17 | 1件のコメント | WhatsAppで共有
  • CVE Foundationは、CVE Programの長期的な持続可能性と独立性を確保するために設立された
  • CVE Programは25年間にわたり、グローバルなサイバーセキュリティ基盤の重要な柱として機能してきた
  • 米国政府との契約終了により、CVE Programの独立した運営の必要性が浮上した
  • CVE Foundationは非営利団体として、高品質な脆弱性識別を継続的に提供する予定である
  • 国際サイバーセキュリティコミュニティにとって重要な機会を提供する

CVE財団設立の背景

  • CVE Foundationが正式に設立され、CVE Programの長期的な持続可能性と独立性を確保するための基盤が整えられた
  • CVE Programは米国政府の資金支援を受けて運営されてきたが、単一の政府支援に依存する構造への懸念が提起されていた

CVE Programの重要性

  • CVEはグローバルなサイバーセキュリティエコシステムの中核要素であり、セキュリティ専門家が日常的に利用する重要なリソースである
  • CVE識別子とデータは、セキュリティツール、勧告、脅威インテリジェンス、および対応に不可欠である

CVE Foundationの役割

  • CVE Foundationは、脆弱性管理エコシステムにおける単一障害点を排除し、CVE Programがグローバルな信頼を得るコミュニティ主導のイニシアチブであり続けることを保証する
  • 国際サイバーセキュリティコミュニティに適したガバナンスを確立する機会を提供する

今後の計画

  • CVE Foundationは、組織構造、移行計画、コミュニティ参加の機会に関する情報を提供する予定である
  • 追加情報や問い合わせは、info@thecvefoundation.org まで連絡可能である

関連記事

1件のコメント

 
GN⁺ 2025-04-17
Hacker Newsの意見
  • CVE評議会メンバーのLinkedIn投稿へのリンクを共有し、他の評議会メンバーの連絡先情報や配信プラットフォームでも関連情報を見つけられるだろうと言及している
  • 契約は土壇場で更新された、という訂正を示している
  • ソフトウェア業界の主要企業が公式コンソーシアムを通じて動くべき時だと考えている
    • このモデルは、彼らが最大の利益を得ているのだから妥当である
    • 大手テック企業はCVEを通じて自社製品を守っている
    • 彼らは莫大な収益と専任のセキュリティチームを持っており、CVEの運営を容易に支援できる
    • コンソーシアム方式は責任を公平に分担する
    • セキュリティは皆の問題である
  • 関連する進行中のスレッドへのリンクを共有している
  • セキュリティ問題なので最悪の事態を想定すべきであり、MITREが引き継ぎを確認しない限り正当ではないと見なすべきだとしている
  • MITREの予算が気になっており、CVEプログラムに対するCISAの資金支援は明確に分けられていないが、年間数千万ドルだと見たことがある
  • システム管理からソフトウェア開発に移って以来、セキュリティ脆弱性を積極的に監視しておらず、最近は注目度の高い脆弱性に関するニュースを読んでいる
    • certよりCVEのほうをよく目にする
    • certとの違いと関係が気になる
  • この状況が維持されるなら、以前より良い結果だと思う
  • プレスリリースに情報がほとんどないため否定的なコメントが多いが、正当だと信じる理由があるので支持している
  • この状況が正当なものであってほしい
    • 発表に対応しており、1年間準備してきたと言っているが、最後の部分までしっかり計画されていたならもっと早く発表していたはずだと疑っている
    • 努力が分裂する可能性があると思っている
    • 皆が単一の解決策を支持できればよいが、これがその解決策なのかは確信が持てない
    • 米国拠点の非営利団体が最善の解決策とは限らない