Программа CVE на грани краха: DHS не продлила контракт, отслеживание уязвимостей под угрозой
Контракт на поддержку базы уязвимостей CVE не продлён, что ставит под удар всю систему безопасности.
Знаменитая база CVE (Common Vulnerabilities and Exposures), которую разработчики по всему миру используют как единый справочник уязвимостей, оказалась на волоске от закрытия. Министерство внутренней безопасности США (DHS) не продлило контракт с MITRE на администрирование программы, и с 16 апреля 2025 года финансирование прекращено.
Пока что MITRE продолжает работу за свой счёт, но долго так продолжаться не может. Если в ближайшее время не найдут решение, тысячи новых уязвимостей останутся без идентификаторов, что серьёзно осложнит жизнь security-специалистам и разработчикам, привыкшим полагаться на CVE при патчинге.
Что это значит для IT-сообщества? - Без CVE замедлится координация между вендорами и исследователями. - Возрастёт риск пропустить критическую уязвимость в своём стеке. - Возможно появление альтернативных баз, что приведёт к фрагментации.
Пока DHS хранит молчание, а сообщество гадает, кто спасёт ситуацию. В прошлом году похожий кризис пережила программа KEV (Known Exploited Vulnerabilities), но тогда контракт продлили в последний момент.
Комментарий студии METABYTE: В такие моменты особенно остро ощущаешь, как хрупка глобальная IT-инфраструктура. Нашим клиентам мы всегда рекомендуем не полагаться на единственный источник данных об уязвимостях — диверсифицируйте мониторинг и автоматизируйте проверки, чтобы даже при сбоях внешних сервисов ваш продукт оставался под защитой.