1 ポイント 投稿者 GN⁺ 2025-04-17 | 1件のコメント | WhatsAppで共有
  • CVE Foundationは、CVE Programの長期的な運営を支える信頼できる安定したグローバルコミュニティを構築しようとしている
  • 最大の課題は、CVE Programを単一の資金源に依存しない多様化された安定的な資金モデルへ移行すること
  • 脆弱性識別プロセスへの信頼を高めるため、参加、国際コミュニティとの協業、透明性を中核的な手段としている
  • 財団は、脆弱性識別が誰にとってもより容易で、より信頼されるプロセスになるよう支援する
  • CVE Programの持続性は、資金構造の安定化とグローバルな協業基盤の強化の両方にかかっている

CVE Program運営基盤の安定化

  • CVE Foundationは、CVE Programの安定した将来を確保することを目標としている
  • 現在の焦点は、CVE Programを単一の資金源から多様化された安定的な資金モデルへ移行できるよう支援すること

脆弱性識別の信頼性強化

1件のコメント

 
GN⁺ 2025-04-17
Hacker Newsのコメント
  • 修正内容を見る限り、契約が土壇場で更新されたように見える
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • これを確認できるForbes以外のソースはある?
  • 正当性を疑うコメントについて:CVE理事会メンバーの1人によるLinkedIn投稿がある。実際にこの一覧[0]の最初の人物: https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    他のCVE理事会メンバーの連絡先や公開チャンネルを探せば、関連情報がさらに見つかるかもしれない
    [0]: https://www.cve.org/programorganization/board

  • 関連して進行中のスレッド:
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • そろそろソフトウェア業界の最大手企業が、正式なコンソーシアムのような形で乗り出すべきだと思う。彼らが最大の恩恵を受けているのだから、そのモデルは理にかなっている
    大手テック企業は自社製品のセキュリティのためにCVEに依存しており、莫大な売上と専任のセキュリティチームを持っているので、CVEの運営費は容易に負担できる。コンソーシアム方式なら責任も公平に分担できる。責任も共有し、恩恵も共有するということで、セキュリティは全員の問題だ

    • はは、そもそもCVEは業界が脆弱性を一貫して透明に追跡・報告することを拒んだために作られたものだ。選択肢を与えれば企業はほぼ常に楽な道を選ぶし、外部からの説明責任がなくなれば、脆弱性管理プログラムは数年どころか数十年は後退しかねない
      たいていの場合、弁護士やCTOはCVEが消えるか業界に移ることを歓迎する可能性が高い。出典:セキュリティ分野で20年以上働いた経験
    • ソフトウェア業界の最大手企業が乗り出すついでに、あなたたちの1兆ドル企業が依存しているオープンソースパッケージを管理している開発者に、5ドルでも投げてくれるといい
      5万人のLeetCoderたちが自分では作れず、なければ生きていけない、あのパッケージのことだ
    • セキュリティ問題で私が絶対に信用しない相手が米国Big Techだ。コンソーシアムであろうとなかろうと、このアイデアに見込みはない
      必要なのは、複数の牽制、均衡、監督を備えた国際的なサイバー脅威情報ネットワークだ。「誰が費用を出すのか?」と問うなら、「テクノロジー産業から本当に利益を得ているのは誰か?」も問うべきだ
  • セキュリティ問題なのだから、最悪を想定すべきだ。MITREが引き継ぎを確認するまでは正当なものとは見なせないし、たとえ確認したとしても疑問を呈する余地は十分にある

  • 人々は政府にもFacebookのように「素早く動き、壊せ」と言い続ける一方で、Facebookがそのプロセスのために今年600億〜650億ドルを使う予定だという点は抜け落ちているのが面白い
    ところが政府が素早く動いて壊す場合には、なぜか「最小コスト」まで含まれるらしい。「速い、安い、良いのうち2つを選べ」という話を思い出す

  • 数十年前にシステム管理からソフトウェア開発へ移ってからは、セキュリティ脆弱性を積極的に追跡していなかった。最近は主に有名な脆弱性に関するニュースを読んでいるが、certよりもCVEをはるかによく目にする
    昔はcertを見ていた: https://www.kb.cert.org/vuls/ さっきざっと検索したところ、まだ残ってはいるようだ。両者の違いや関係は何なのか?

    • 最大の違いは、CVEが昨日、米国政府によって予告なく終了され、プログラムが今日終わるという点だ
  • MITREの予算がいくらだったのか気になる。CISAのCVEプログラム予算は個別に分けて公開されていないが、私が見た限りでは年間数千万ドル規模だという
    CVEプログラムが重要なのは確かだが、過剰な気もする

    • 4,000万ドル
  • こうしたデータの分散型データベースが必要なら、ブロックチェーンは実際に良い用途になり得るのではないかと思う
    合意が必要で、不変であるべきで、分散されている必要がある。CVEデータベースを必要とするユーザーは、BitTorrentでもどこからでも台帳のコピーを取得し、全データや更新をパースすればよい。CVEは更新がそれほど多いわけでもなく、いずれにせよすべて永続的に追跡する必要がある。更新はチェーンに項目を1つ追加する形で処理でき、悪意ある行為者が勝手に改ざんするのも難しい

    • 合意も必要ないし、不変である必要もない。これは単なる勧告的データだ。どこかの所有者が自分のリポジトリのCVEデータを検閲したり操作したりしても、ユーザーを苛立たせる以外に得るものはない
      中央データベースとミラーだけで十分で、これまでもその方式で問題なかった。必要なのは、データを自由に利用・共有できるようにし、可能なら他の機関にもソフトウェア脆弱性を分類してもらって、ある程度の冗長性と複製を提供することだ
  • 本当であってほしいが、実際の情報がほとんどない。彼らは発表に対応しているとも言っているし、1年間準備してきたとも言っている
    最後の部分が本当に綿密に準備されたものだったなら、おそらくもっと早く何かを発表していただろうから疑わしい。ここでは複数の取り組みが分裂する可能性がありそうだ。皆が単一の解決策を中心にまとまればよいが、これがその解決策なのかは分からない。米国拠点の非営利団体が最善の解決策とは限らない