1 points par GN⁺ 2025-04-17 | 1 commentaires | Partager sur WhatsApp
  • La CVE Foundation cherche à bâtir une communauté mondiale fiable et stable pour soutenir l’exploitation à long terme du CVE Program
  • Le principal défi consiste à faire passer le CVE Program à un modèle de financement diversifié et stable, qui ne dépende pas d’un flux de financement unique
  • Pour renforcer la confiance dans le processus d’identification des vulnérabilités, elle mise sur la participation, la collaboration avec la communauté internationale et la transparence
  • La fondation aide à faire de l’identification des vulnérabilités un processus plus simple et plus fiable pour tous
  • La continuité du CVE Program dépend à la fois de la stabilisation de sa structure de financement et du renforcement des bases de la collaboration mondiale

Stabilisation des bases opérationnelles du CVE Program

  • La CVE Foundation a pour objectif de garantir un avenir stable au CVE Program
  • L’accent est actuellement mis sur l’aide à la transition du CVE Program depuis un flux de financement unique vers un modèle de financement diversifié et stable

Renforcement de la fiabilité de l’identification des vulnérabilités

  • La fondation s’appuie sur la participation, la collaboration avec la communauté internationale et la transparence pour rendre l’identification des vulnérabilités plus fiable
  • L’objectif est d’aider à faire de l’identification des vulnérabilités un processus plus simple et plus fiable pour tous

1 commentaires

 
GN⁺ 2025-04-17
Avis sur Hacker News
  • D’après la modification, il semble que le contrat ait été renouvelé à la dernière minute
    https://www.forbes.com/sites/kateoflahertyuk/2025/04/16/cve-...

    • Existe-t-il une source autre que Forbes qui le confirme ?
  • À propos des commentaires qui doutent de la légitimité : il y a un post LinkedIn de l’un des membres du conseil d’administration de CVE. C’est bien la première personne de cette liste[0] : https://www.linkedin.com/posts/peterallor_cve-foundation-act...
    En cherchant les coordonnées ou les canaux publics d’autres membres du conseil d’administration de CVE, on devrait pouvoir trouver davantage d’éléments à ce sujet
    [0]: https://www.cve.org/programorganization/board

  • Discussions en cours sur le même sujet :
    CVE program faces swift end after DHS fails to renew contract [fixed] - https://news.ycombinator.com/item?id=43700607
    Replacing CVE - https://news.ycombinator.com/item?id=43708409

  • À mon avis, il est temps que les plus grandes entreprises du logiciel interviennent sous une forme de consortium officiel. Comme ce sont elles qui en bénéficient le plus, ce modèle a du sens
    Les grandes entreprises tech s’appuient sur CVE pour la sécurité de leurs produits, disposent de revenus considérables et d’équipes de sécurité dédiées, donc elles pourraient facilement financer son fonctionnement. Un consortium permettrait aussi de répartir équitablement les responsabilités. Les responsabilités comme les bénéfices seraient partagés, et la sécurité est l’affaire de tous

    • Haha, à l’origine, CVE a justement été créé parce que l’industrie refusait de suivre et de signaler les vulnérabilités de manière cohérente et transparente. Si on leur laisse le choix, les entreprises prennent presque toujours la voie la plus facile, et sans responsabilité externe, les programmes de gestion des vulnérabilités pourraient reculer non pas de quelques années, mais de plusieurs décennies
      Dans l’ensemble, les avocats et les CTO seraient probablement ravis que CVE disparaisse ou passe sous le contrôle de l’industrie. Source : plus de 20 ans dans la sécurité
    • Tant que les plus grandes entreprises du logiciel y sont, ce serait bien qu’elles lâchent ne serait-ce que 5 dollars aux développeurs qui maintiennent les paquets open source dont dépendent vos entreprises à mille milliards de dollars
      Vous savez, ces paquets que 50 000 leetcoders ne sauraient pas créer eux-mêmes et sans lesquels ils ne pourraient pas vivre
    • En matière de sécurité, l’acteur auquel je ne ferais absolument jamais confiance, c’est la Big Tech américaine. Consortium ou pas, cette idée n’a aucune chance
      Ce dont nous avons besoin, c’est d’un réseau international de renseignement sur les cybermenaces, avec de multiples contre-pouvoirs, équilibres et mécanismes de supervision. Si l’on demande « qui paie ? », il faut aussi demander « qui profite réellement de l’industrie technologique ? »
  • Comme il s’agit de sécurité, il faut partir du pire scénario. Tant que MITRE n’a pas confirmé la passation, on ne peut pas considérer cela comme légitime, et même si elle la confirme, il restera largement de quoi poser des questions

  • C’est amusant de voir les gens répéter que le gouvernement devrait, comme Facebook, « avancer vite et casser des choses », tout en oubliant que Facebook a prévu de dépenser 60 à 65 milliards de dollars cette année pour ce processus
    Mais quand c’est le gouvernement qui avance vite et casse des choses, on dirait que cela inclut aussi le « coût minimal ». Ça me rappelle le dicton : « rapide, bon marché, bien fait : choisissez-en deux »

  • Depuis que je suis passé de l’administration système au développement logiciel il y a quelques décennies, je n’ai plus suivi activement les vulnérabilités de sécurité. Aujourd’hui, je lis surtout des articles sur les vulnérabilités connues, et je vois beaucoup plus souvent CVE que cert
    Avant, je consultais cert : https://www.kb.cert.org/vuls/ Une recherche rapide à l’instant montre que cela existe toujours. Quelle est la différence ou la relation entre les deux ?

    • La plus grande différence, c’est que CVE a été arrêté hier sans préavis par le gouvernement américain, et que le programme se termine aujourd’hui
  • Je me demande quel était le budget de MITRE. Le budget du programme CVE de la CISA n’est pas publié séparément, mais d’après ce que j’ai vu, il serait de l’ordre de plusieurs dizaines de millions de dollars par an
    Même si le programme CVE est important, cela me paraît excessif

    • 40 millions de dollars par an
  • S’il faut une base de données décentralisée pour ce type de données, la blockchain pourrait peut-être être un vrai bon cas d’usage
    Il faut un consensus, l’immutabilité et la distribution. Les utilisateurs qui ont besoin de la base CVE pourraient récupérer une copie du registre via BitTorrent ou ailleurs, puis analyser l’ensemble des données ou les mises à jour. La base CVE n’a pas non plus un volume de mises à jour énorme, et de toute façon tout doit être suivi de manière permanente. Les mises à jour pourraient se faire en ajoutant une entrée de plus à la chaîne, et il serait difficile pour un acteur malveillant de les modifier arbitrairement

    • Il n’y a pas besoin de consensus, ni d’immutabilité. Ce ne sont que des données consultatives. Si un propriétaire censure ou manipule les données CVE de son dépôt, il n’y gagne rien d’autre que d’agacer les utilisateurs
      Une base centrale et des miroirs suffisent, et cela a très bien fonctionné jusqu’à présent. Ce qu’il faut, c’est rendre les données librement utilisables et partageables, et si possible que d’autres organisations classifient aussi les vulnérabilités logicielles afin d’apporter un certain degré de redondance et de réplication
  • J’aimerais que ce soit vrai, mais il y a très peu d’informations concrètes. Ils disent à la fois qu’ils réagissent à l’annonce et qu’ils s’y préparent depuis un an
    Si cette dernière partie avait vraiment été préparée avec soin, ils auraient probablement annoncé quelque chose plus tôt, donc c’est suspect. On dirait qu’ici plusieurs efforts risquent de se fragmenter. Ce serait bien que tout le monde se rassemble autour d’une solution unique, mais je ne sais pas si c’est celle-ci. Une organisation à but non lucratif basée aux États-Unis n’est peut-être pas la meilleure solution