Em uma luta de décima primeira hora antes que um contrato importante estivesse vencido na noite de terça-feira, a Agência de Segurança de Segurança Cibernética e Infraestrutura dos Estados Unidos renovou seu financiamento para o projeto de rastreamento de vulnerabilidades e exposições comuns de vulnerabilidades e exposições comuns. Gerenciado pelo grupo de pesquisa e desenvolvimento sem fins lucrativos Mitre, o programa CVE é um ponto de vista da segurança cibernética global-fornecendo dados e serviços críticos para defesa e pesquisa digital.
O programa CVE é regido por um conselho que define uma agenda e prioridades para Mitre executar usando o financiamento da CISA. Um porta -voz da CISA disse na quarta -feira que o contrato com Mitre está sendo estendido por 11 meses. “O programa CVE é inestimável para a comunidade cibernética e uma prioridade da CISA”, disse eles em comunicado. “Ontem à noite, a CISA executou o período de opções no contrato para garantir que não haja lapso nos serviços críticos da CVE. Agradecemos a paciência de nossos parceiros e partes interessadas”.
O vice -presidente e diretor do Centro para garantir a pátria, Yosry Barsoum, disse em comunicado na quarta -feira que “a CISA identificou financiamento incremental para manter os programas operacionais”. Com o relógio marcando antes que essa decisão seja lançada, alguns membros do conselho do programa CVE anunciaram um plano para fazer a transição do projeto para um nova organização sem fins lucrativos entidade chamada fundação CVE.
“Desde a sua criação, o programa CVE opera como uma iniciativa financiada pelo governo dos EUA, com a supervisão e a administração fornecidas sob contrato. Embora essa estrutura tenha apoiado o crescimento do programa, também levantou preocupações de longa data entre os membros do Conselho da CVE sobre a sustentabilidade e a neutralidade de um recurso globalmente contado a um recurso excluído a um único governo patrocinador,” a fundação escreveu a fundação. “Essa preocupação tornou -se urgente após uma carta de 15 de abril de 2025, de Mitre, notificando o conselho da CVE de que o governo dos EUA não pretende renovar seu contrato para gerenciar o programa. Embora esperávamos que esse dia não chegasse, estamos nos preparando para essa possibilidade”.
Não está claro quem do placa CVE atual é afiliado à nova iniciativa que não Kent Landfield, um membro da indústria de longa data de segurança cibernética que foi citada na declaração da Fundação CVE. A fundação CVE não retornou imediatamente um pedido de comentário.
A CISA não respondeu a perguntas da Wired sobre por que o destino do contrato do programa CVE estava em questão e se estava relacionado a cortes no orçamento recentes que varrem o governo federal, conforme exigido pelo governo Trump.
Pesquisadores e profissionais de segurança cibernética ficaram aliviados na quarta -feira que o programa CVE não havia deixado de existir como resultado de instabilidade sem precedentes no financiamento federal dos EUA. E muitos observadores expressaram otimismo cauteloso de que o incidente poderia tornar o programa CVE mais resiliente se for transitir para ser uma entidade independente que não depende de financiamento de qualquer governo ou outra fonte única.
“O programa CVE é fundamental e é do interesse de todos ter sucesso”, diz Patrick Garrity, pesquisador de segurança da Vulncheck. “Quase todas as organizações e toda ferramenta de segurança dependem dessas informações, e não são apenas os EUA. Ela é consumida globalmente. Portanto, é muito, muito importante que continue sendo um serviço fornecido pela comunidade, e precisamos descobrir o que fazer sobre isso, porque perdê-lo seria um risco para todos”.
Registros de compras federais indicar que custa nas dezenas de milhões de dólares por contrato para executar o programa CVE. Mas no esquema do perdas que podem ocorrer De um único ataque cibernético que explora vulnerabilidades de software não patches, dizem os especialistas a Wired, os custos operacionais parecem insignificantes versus o benefício apenas para a defesa dos EUA.
Apesar do financiamento de última hora da CISA, o futuro do programa CVE ainda não está claro a longo prazo. Como uma fonte, que solicitou o anonimato porque é um empreiteiro federal, coloque: “É tudo tão estúpido e perigoso”.
