Глобальна програма Common Vulnerabilities and Exposures (CVE), яка вже понад чверть століття забезпечує фахівців кібербезпеки критичною інформацією про вразливості в програмному забезпеченні, ледь не опинилася на межі зупинки. 16 квітня 2025 року уряд США мав припинити фінансування ініціативи, однак в останній момент все ж ухвалив рішення продовжити підтримку.
Про можливе завершення роботи CVE вперше повідомила організація MITRE, яка керує системою за контрактом із Міністерством внутрішньої безпеки США. Причиною стала відмова адміністрації від подальшого фінансування програми через загальнодержавне скорочення бюджету.
Що таке CVE і чому її втрата була б критичною
Програма CVE забезпечує унікальне позначення для кожної нововиявленої вразливості в програмному забезпеченні. Ця ідентифікація дозволяє компаніям, дослідникам та урядовим органам координувати зусилля з їх усунення без плутанини. Щороку система опрацьовує десятки тисяч записів — лише у 2024 році було зареєстровано понад 40 000 нових уразливостей.
Сотні організацій у понад 40 країнах є партнерами CVE. Вони беруть участь у процесі аналізу та реєстрації вразливостей. У разі зупинки програми світова ІТ-спільнота ризикувала втратити головний орієнтир для виявлення загроз, що могло призвести до хаосу в кіберпросторі та зриву захисту критичної інфраструктури.
“CVE — це основа кібербезпеки, і будь-які збої у її підтримці створюють неприйнятний ризик для національної безпеки та критичних систем”, — прокоментувала експертка з інформаційної безпеки Кеті Муссуріс.
Несподіване продовження фінансування
Хоча MITRE підтвердила, що фінансування припиняється 16 квітня, пізніше з’явилася інформація про перегляд цього рішення. За даними Bleeping Computer, уряд США погодився продовжити фінансування CVE, щоб гарантувати безперервність роботи системи.
Таким чином, історичні записи CVE залишаються доступними, а нові ідентифікатори продовжать видаватися без перерви. Проте ситуація виявилася сигналом для спільноти кібербезпеки — критично важливі програми не повинні повністю залежати від одного джерела фінансування, навіть якщо це урядова структура.
