Các nhà nghiên cứu an ninh trên toàn thế giới đã vô cùng lo lắng trong vài ngày qua. Điều gì sẽ xảy ra với chương trình Các lỗ hổng và nguy cơ phổ biến (CVE)? Sáng kiến quốc tế này bắt đầu từ 25 năm trước, nhằm mục đích xác định và ghi lại các lỗ hổng máy tính theo dạng chuẩn (ví dụ: CVE-2024-12345). Thuật ngữ này cho phép các nhà nghiên cứu, nhà xuất bản phần mềm, doanh nghiệp và cơ quan quản lý nói cùng một ngôn ngữ khi thảo luận về vi phạm bảo mật.
Tuy nhiên, hợp đồng được trao cho Tập đoàn MITRE (một tổ chức phi lợi nhuận của Hoa Kỳ) để quản lý chương trình CVE sẽ hết hạn vào hôm nay, thứ Tư, ngày 16 tháng 4. Nếu không được CISA gia hạn, chương trình CVE có nguy cơ bị đóng băng hoạt động, ảnh hưởng đến ngày triển khai cơ sở. Một thảm họa an ninh khoa học máy tính, đến thời điểm mà vấn đề chưa bao giờ trở nên quan trọng đến vậy.
Rất may là CISA đã thông báo, vào phút chót, về việc gia hạn hợp đồng MITRE, do đó có thể tiếp tục vận hành CVE. «Chương trình CVE vô cùng có giá trị đối với cộng đồng an ninh mạng và là ưu tiên hàng đầu của CISA. Đêm qua, CISA đã kích hoạt thời hạn tùy chọn của hợp đồng để đảm bảo không xảy ra gián đoạn trong các dịch vụ quan trọng liên quan đến CVE", cơ quan này cho biết.
Nhưng đây rồi: hợp đồng chỉ có hiệu lực trong 11 tháng. Điều gì sẽ xảy ra tiếp theo? Ngay trước khi CISA xác nhận cam kết của mình, MITRE đã tạo bản sao lưu lịch sử lỗ hổng bảo mật trên GitHub để tránh mất tất cả thông tin này trong trường hợp cơ sở dữ liệu CVE bị đóng.
Tương lai của cơ sở thiết yếu này cho cơ sở hạ tầng web chắc chắn sẽ thông qua CVE Foundation, chính thức được thành lập vào thứ Tư tuần này để "đảm bảo tính bền vững, ổn định và độc lập lâu dài» của chương trình. Nền tảng này đã được xây dựng trong một năm và là thành quả của liên minh các thành viên tích cực lâu năm. Sẽ có thêm thông tin trong những ngày tới về quản trị, chuyển đổi và các cơ hội tham gia cộng đồng.
Nguồn: PCMag
Một cuộc giải cứu vào phút chót
Chương trình được Cơ quan An ninh mạng Hoa Kỳ và Cơ sở hạ tầng an ninh (CISA), một cơ quan công, tài trợ. Nhưng kể từ khi chính quyền Trump mới lên nắm quyền, nguồn tài trợ cho một số chương trình liên bang đã bị cắt giảm hoặc chuyển hướng.Tuy nhiên, hợp đồng được trao cho Tập đoàn MITRE (một tổ chức phi lợi nhuận của Hoa Kỳ) để quản lý chương trình CVE sẽ hết hạn vào hôm nay, thứ Tư, ngày 16 tháng 4. Nếu không được CISA gia hạn, chương trình CVE có nguy cơ bị đóng băng hoạt động, ảnh hưởng đến ngày triển khai cơ sở. Một thảm họa an ninh khoa học máy tính, đến thời điểm mà vấn đề chưa bao giờ trở nên quan trọng đến vậy.
Rất may là CISA đã thông báo, vào phút chót, về việc gia hạn hợp đồng MITRE, do đó có thể tiếp tục vận hành CVE. «Chương trình CVE vô cùng có giá trị đối với cộng đồng an ninh mạng và là ưu tiên hàng đầu của CISA. Đêm qua, CISA đã kích hoạt thời hạn tùy chọn của hợp đồng để đảm bảo không xảy ra gián đoạn trong các dịch vụ quan trọng liên quan đến CVE", cơ quan này cho biết.
Nhưng đây rồi: hợp đồng chỉ có hiệu lực trong 11 tháng. Điều gì sẽ xảy ra tiếp theo? Ngay trước khi CISA xác nhận cam kết của mình, MITRE đã tạo bản sao lưu lịch sử lỗ hổng bảo mật trên GitHub để tránh mất tất cả thông tin này trong trường hợp cơ sở dữ liệu CVE bị đóng.
Tương lai của cơ sở thiết yếu này cho cơ sở hạ tầng web chắc chắn sẽ thông qua CVE Foundation, chính thức được thành lập vào thứ Tư tuần này để "đảm bảo tính bền vững, ổn định và độc lập lâu dài» của chương trình. Nền tảng này đã được xây dựng trong một năm và là thành quả của liên minh các thành viên tích cực lâu năm. Sẽ có thêm thông tin trong những ngày tới về quản trị, chuyển đổi và các cơ hội tham gia cộng đồng.
Nguồn: PCMag