Az amerikai kormányzat javítani szeretné a sérülékenységek azonosítására és visszakereshetőségének biztosítására szolgáló, biztonsági szakemberek, cégek és szoftverek által világszerte használt Common Vulnerabilities and Exposures (CVE) rendszert, mivel az utóbbi években egyre több visszajelzés érkezett azzal kapcsolatban, hogy túl hosszú idő telik el, amíg a jelentett biztonsági hibák megkapják a CVE azonosítójukat. Még súlyosabb képet fest egy 2016-os jelentés, mely szerint 2015-ben 6 000 felfedezett sérülékenység egyáltalán nem kapott azonosítót. Mindez odáig vezetett, hogy szakemberek egy csoportja idő közben létrehozott egy alternatív sérülékenység nyilvántartó adatbázist, amely a Distributed Weakness Filing (DWF) névre hallgat. A CVE rendszert gondozó, amerikai állami fenntartású MITRE kutató központ szerint a számkiosztás csúszása többek között a szoftverfejlesztő cégek, valamint az ipari vezérlő rendszerek (SCADA) és okos eszközök számának ugrásszerű növekedésének köszönhető. Az amerikai szenátus végül 2017-ben vizsgálatot indított, amely azt találta, hogy elsősorban az elégtelen finanszírozás áll a probléma hátterében, ezért javasolják, hogy a CVE rendszer fenntartására szolgáló támogatás kerüljön rögzítésre az amerikai Belbiztonsági Minisztérium (DHS) éves büdzséjében, valamint a 2 évenkénti felülvizsgálati eljárás bevezetését, ami biztosíthatja az esetleges rendellenességek idő előtti felismerését.
Lassú a CVE számkiosztás, most már azt is lehet tudni miért
2018. augusztus 29. 12:01
