Il programma delle Common Vulnerabilities and Exposures , un sistema cruciale per la sicurezza informatica utilizzato da giganti come Microsoft, Google, Apple, Intel e AMD, si trova in una situazione precaria. Con il finanziamento sul punto di esaurirsi, si stanno sollevando preoccupazioni significative su come questo potrà influenzare la gestione delle vulnerabilità informatiche a livello mondiale.
Indice dei contenuti
Il programma CVE e la sua importanza
Lanciato nel 1999, il programma CVE è fondamentale per l’individuazione e la tracciabilità delle vulnerabilità di sicurezza pubblicamente divulgate. Attraverso un database, le organizzazioni partecipanti possono assegnare identificativi unici a ciascuna vulnerabilità, che seguono il formato “CVE” seguito dall’anno e da un numero, come CVE-2022-27254. Questo permette ai professionisti della sicurezza di monitorare in dettaglio le vulnerabilità che possono avere impatti su dispositivi e sistemi che gestiscono informazioni critiche nella vita quotidiana.
Seguici su Google News
Ricevi i nostri aggiornamenti direttamente nel tuo feed di
notizie personalizzato
Seguici ora
La registrazione e il monitoraggio delle vulnerabilità consentono ai team di ingegneri di valutare la gravità degli exploit e di stabilire le priorità per l’applicazione di patch e altre mitigazioni. Senza un sistema organizzato come quello delle CVE, potrebbe esserci confusione e disorientamento, rendendo più difficile difendersi contro le minacce informatiche.
La minaccia del finanziamento in scadenza
Secondo quanto confermato da MITRE, l’organizzazione federale responsabile del programma, il contratto per “sviluppare, operare e modernizzare” le CVE scadrà il 16 aprile 2025. Questo annuncio ha destato forti preoccupazioni tra esperti del settore, che avvertono che la mancanza di supporto per il programma potrebbe “impedire” l’efficacia delle misure di sicurezza informatica a livello mondiale.
Lukasz Olejnik, ricercatore nel campo della sicurezza e della privacy, ha condiviso le sue preoccupazioni su X, evidenziando che l’assenza di un coordinamento tra fornitori, analisti e sistemi di difesa potrebbe portare a un vero e proprio caos. “La conseguenza sarà un crollo nella coordinazione,” ha dichiarato Olejnik, “e non ci sarà certezza che tutti si riferiscano alla stessa vulnerabilità.” Un esito del genere metterebbe a repentaglio la sicurezza complessiva delle infrastrutture digitali.
Reazioni e dichiarazioni ufficiali
Yosry Barsoum, vicepresidente e direttore del Center for Securing the Homeland di MITRE, ha assicurato via email che il governo sta continuando a mettere in atto sforzi significativi per sostenere il ruolo di MITRE nel programma. Ha sottolineato l’impegno di MITRE nel mantenere le CVE come una risorsa globale, ma ha riconosciuto che la scadenza del finanziamento avrà ripercussioni anche sul programma Common Weakness Enumeration , che si occupa di catalogare le debolezze hardware e software.
La notizia è emersa inizialmente da una lettera trapelata indirizzata ai membri del consiglio di MITRE, pubblicata su X e Bluesky. MITRE riceve finanziamenti dal Dipartimento della Sicurezza Nazionale degli Stati Uniti e dall’agenzia per la Sicurezza delle Infrastrutture , con l’obiettivo di “operare ed evolvere il programma CVE come un’entità indipendente e obiettiva.”
Il futuro di questo programma fondamentale per la sicurezza informatica rimane incerto, e la comunità tecnologica osserva con attenzione l’evolversi della situazione.
