Güvenlik dünyasını yakından ilgilendiren kritik bir gelişme yaşanıyor. MITRE Başkan Yardımcısı Yosry Barsoum, siber güvenlik alanında küresel ölçekte kullanılan CVE (Ortak Güvenlik Açıkları ve Etkilenmeler) ile CWE (Ortak Zayıflık Sınıflandırması) programlarının ABD hükümeti tarafından sağlanan finansmanının bugün itibariyle sona ereceğini duyurdu.
MITRE tarafından yürütülen ve ABD İç Güvenlik Bakanlığı’na bağlı Ulusal Siber Güvenlik Birimi’nin (DHS) fonladığı CVE programı, güvenlik açıklarının standart ve doğru bir şekilde tanımlanmasını sağlıyor. Güvenlik açıklarının takip edilmesi, raporlanması ve analiz edilmesinde küresel standart haline gelen CVE sistemi; güvenlik danışmanlıkları, veritabanları ve zafiyet yönetim araçlarında yaygın şekilde kullanılıyor.
Barsoum’un CVE Yönetim Kurulu’na gönderdiği mektupta, “16 Nisan 2025 Çarşamba günü itibariyle MITRE’ın CVE ve ilgili diğer programları (örneğin CWE) geliştirme ve işletme sözleşmesi sona erecek. Hükümet, MITRE’ın bu programlardaki rolünü sürdürebilmesi için yoğun çaba sarf ediyor,” ifadelerine yer verildi.
Kritik Altyapılar Riskte
Barsoum, hizmette yaşanabilecek bir kesintinin; ulusal zafiyet veritabanlarının, güvenlik danışmanlıklarının, olay müdahale süreçlerinin ve kritik altyapıların ciddi şekilde etkileneceği uyarısında bulundu.
CVE sisteminin sona ermesi durumunda; güvenlik açıklarının takip edilmesi, standardize edilmesi ve paylaşılmasında ciddi aksaklıkların yaşanacağı, sektörde kaos ortamının oluşabileceği belirtiliyor.
Eski CISA Direktörü Jean Easterly, “CVE sistemi manşetlere çıkmasa da modern siber güvenliğin en önemli yapı taşlarından biridir. Bu sistemin kaybedilmesi, tüm kütüphanelerin kataloglarını bir anda yok etmek gibidir. Savunmacılar karmaşada kaybolurken, saldırganlar bu durumu avantaja çevirecektir,” açıklamasında bulundu.
Bugcrowd kurucusu Casey Ellis ise, “CVE altyapısı; zafiyet yönetimi, olay müdahalesi ve kritik altyapı korumasının temelini oluşturuyor. Bu sistemde yaşanacak ani bir kesinti, kısa sürede ulusal güvenlik sorununa dönüşebilir,” dedi.
CISA: Hizmeti Sürdürmeye Çalışıyoruz
Konuyla ilgili olarak CISA, “MITRE ile olan sözleşmemiz 16 Nisan’dan sonra sona erecek. Ancak CVE hizmetlerinin sürekliliğini sağlamak ve küresel paydaşların ihtiyaçlarını karşılamaya devam etmek için acil önlemler alıyoruz,” açıklamasında bulundu.
Öte yandan, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) de CVE girdilerinin zenginleştirilmesini bekleyen büyük bir birikmiş dosya ile mücadele ediyor.
Siber güvenlik topluluğunda endişeyle karşılanan bu gelişme, dünya genelindeki savunma mekanizmalarının ortak dili olan CVE sisteminin geleceği konusunda ciddi soru işaretleri doğurdu.
