16 квітня 2025 року уряд США оголосив про завершення фінансування програми Common Vulnerabilities and Exposures (CVE), важливої глобальної ініціативи для реєстрації вразливостей у ПЗ. Програма функціонує вже 25 років, присвоюючи унікальні ідентифікатори виявленим вразливостям, що дозволяє розробникам та експертам з безпеки працювати з ними узгоджено.

CVE використовується державними органами, компаніями, дослідниками та незалежними спеціалістами як основний інструмент для виявлення та усунення вразливостей. Це допомагає уникнути непорозумінь, коли одна й та ж помилка виявлена кількома особами.

Проте без державної підтримки програма може опинитися на межі закриття. Це призведе до відсутності нових CVE, можливого закриття вебсайту програми і хаосу в сфері кібербезпеки. Організація MITRE, яка управляє CVE, підтвердила, що фінансування не буде продовжено через бюджетні скорочення, запроваджені адміністрацією Трампа.

"З 16 квітня фінансування MITRE на розвиток, підтримку та модернізацію програми CVE та пов’язаних ініціатив, таких як Common Weakness Enumeration, закінчується", - заявив Йосрі Барсум, віцепрезидент MITRE.

Основна функція CVE полягає в тому, що коли виявляється вразливість, партнери програми (яких налічується сотні у понад 40 країнах) аналізують її та присвоюють CVE-ідентифікатор. У 2024 році було зафіксовано понад 40 тисяч нових CVE.

"CVE є основою кібербезпеки, і будь-які збої в її підтримці створюють неприйнятний ризик для критичної інфраструктури та національної безпеки", - зазначила Кеті Муссуріс, експерт з кібербезпеки та засновниця Luta Security.

Наразі історичні дані CVE доступні на GitHub, але майбутнє системи під загрозою, якщо не буде знайдено нових джерел фінансування або підтримки від індустрії.

ОНОВЛЕНО:

Як повідомляє Bleeping Computer, уряд США вирішив продовжити фінансування, щоб уникнути проблем з безперервністю роботи програми Common Vulnerabilities and Exposures (CVE).