Fondation CVE

 (thecvefoundation.org)
1 points par GN⁺ 2025-04-17 | 1 commentaires | Partager sur WhatsApp
  • La CVE Foundation a été créée pour garantir la pérennité et l’indépendance à long terme du programme CVE
  • Le programme CVE est un pilier essentiel de l’infrastructure mondiale de cybersécurité depuis 25 ans
  • La fin du contrat avec le gouvernement américain a fait émerger la nécessité d’une exploitation indépendante du programme CVE
  • En tant qu’organisation à but non lucratif, la CVE Foundation continuera à fournir une identification des vulnérabilités de haute qualité
  • Elle offre une opportunité importante à la communauté internationale de la cybersécurité

Contexte de la création de la CVE Foundation

  • La CVE Foundation a été officiellement créée afin de poser les bases garantissant la pérennité et l’indépendance à long terme du programme CVE
  • Le programme CVE fonctionnait avec un financement du gouvernement américain, mais des inquiétudes ont été soulevées quant à une structure dépendant d’un seul soutien gouvernemental

Importance du programme CVE

  • CVE est un élément central de l’écosystème mondial de la cybersécurité, et une ressource essentielle utilisée quotidiennement par les professionnels de la sécurité
  • Les identifiants et données CVE sont indispensables aux outils de sécurité, aux avis, au renseignement sur les menaces et aux réponses aux incidents

Rôle de la CVE Foundation

  • La CVE Foundation supprime le point de défaillance unique dans l’écosystème de gestion des vulnérabilités et garantit que le programme CVE reste une initiative pilotée par la communauté, digne de confiance à l’échelle mondiale
  • Elle offre l’opportunité de mettre en place une gouvernance adaptée à la communauté internationale de la cybersécurité

Prochaines étapes

  • La CVE Foundation prévoit de fournir des informations sur sa structure, son plan de transition et les possibilités de participation de la communauté
  • Pour plus d’informations ou toute question, il est possible de contacter info@thecvefoundation.org

À lire aussi

1 commentaires

 
GN⁺ 2025-04-17
Avis sur Hacker News
  • Partage un lien vers une publication LinkedIn d’un membre du conseil du CVE, en mentionnant qu’on pourrait aussi trouver des informations connexes via les coordonnées d’autres membres du conseil et sur des plateformes de diffusion
  • Apporte une correction indiquant que le contrat a été renouvelé à la dernière minute
  • Estime qu’il est temps que les grandes entreprises de l’industrie du logiciel interviennent via un consortium officiel
    • Ce modèle est pertinent, car ce sont elles qui en tirent le plus grand bénéfice
    • Les grandes entreprises technologiques protègent leurs produits grâce au CVE
    • Elles disposent de revenus considérables et d’équipes de sécurité dédiées, ce qui leur permettrait de soutenir facilement l’exploitation du CVE
    • L’approche par consortium répartit équitablement la responsabilité
    • La sécurité est l’affaire de tout le monde
  • Partage un lien vers un fil de discussion connexe en cours
  • Puisqu’il s’agit d’un enjeu de sécurité, il faut partir du pire scénario et supposer que ce n’est pas légitime tant que MITRE n’a pas confirmé la reprise
  • S’interroge sur le budget de MITRE et dit avoir vu que le financement de la CISA pour le programme CVE, bien que non clairement isolé, se chiffre à plusieurs dizaines de millions de dollars par an
  • Depuis son passage de l’administration système au développement logiciel, ne suit plus activement les vulnérabilités de sécurité et lit désormais les actualités sur les failles très médiatisées
    • Voit plus souvent CVE que cert
    • Se demande quelle est la différence entre cert et CVE, ainsi que leur relation
  • Pense que, si cette situation se maintient, le résultat sera meilleur qu’auparavant
  • La publication contient très peu d’informations, ce qui explique de nombreux commentaires négatifs, mais estime qu’il y a des raisons de croire à sa légitimité et la soutient
  • Espère que cette situation est légitime
    • Dit être en train de réagir à l’annonce et y travailler depuis un an, mais doute que cela ait été fortement planifié si la dernière partie n’a été annoncée qu’aussi tardivement
    • Pense qu’il existe un risque de fragmentation des efforts
    • Ce serait bien que tout le monde soutienne une solution unique, mais n’est pas certain que ce soit celle-ci
    • Une organisation à but non lucratif basée aux États-Unis n’est peut-être pas la meilleure solution