Важлива новина зі світу кібербезпеки: уряд США несподівано припинив фінансування системи Common Vulnerabilities and Exposures (CVE) — глобальної бази даних вразливостей у програмному забезпеченні, яку використовують компанії, дослідники та виробники смартфонів, зокрема Google для Android.
Що таке CVE і чому це важливо
CVE — це центральна система, що присвоює унікальні ідентифікатори всім виявленим вразливостям у програмному забезпеченні. Наприклад, коли з’являється небезпечний баг в Android, Google описує його саме за допомогою CVE-коду. Це дозволяє всім учасникам екосистеми — від виробників до розробників безпеки — швидко і точно визначити проблему та випустити патч.
Що сталося
Починаючи з 16 квітня, США припиняють фінансування MITRE — некомерційної організації, що керує CVE. Це означає, що оновлення, підтримка та розвиток системи зупиняються, якщо не знайдеться новий спонсор.
“Фінансування програми CVE та пов’язаних з нею ініціатив закінчується,” — повідомив Йосрі Барсум, віцепрезидент MITRE, у коментарі The Register.
Як це вплине на Android
Google активно використовує CVE в щомісячних бюлетенях безпеки Android. Якщо система перестане працювати, це може призвести до:
- Затримок із виявленням вразливостей;
- Уповільнення або пропуску оновлень безпеки;
- Плутанини між виробниками щодо актуальних загроз;
- Зниження прозорості щодо нових загроз.
Серйозний ризик полягає в тому, що виробники Android-смартфонів можуть бути змушені створювати власні закриті системи, що ускладнить координацію та зменшить відкритість для дослідників.
Чи є надія
Можливі варіанти розвитку подій:
- Уряд США відновить фінансування (як уже бувало з іншими ініціативами);
- Google та інші технологічні гіганти створять власну альтернативу CVE;
- Інша організація візьме на себе керівництво базою.
Поки що, історичні дані CVE лишаються доступними на GitHub, але майбутнє оновлень залишається під питанням.
){kind=link}