La CVE è salva: prorogati i fondi per altri 11 mesi. E intanto nasce la CVE Foundation

La minaccia di una improvvisa chiusura del programma Common Vulnerabilities and Exposures (CVE), uno punti di riferimento fondamentali nel campo della sicurezza informatica, è stata scongiurata grazie a una proroga dell’ultimo minuto decisa dal governo degli Stati Uniti, tramite la Cybersecurity and Infrastructure Security Agency (CISA).

La decisione è giunta a poche ore dalla scadenza dei fondi e riguarda l'estensione di 11 mesi del contratto con il MITRE, l'organizzazione non profit che da 25 anni gestisce il database delle vulnerabilità informatiche  più utilizzato da aziende, istituzioni e ricercatori di sicurezza di tutto il mondo.

In questo modo sarà possibile assicurare la continuità operativa del database almeno fino a marzo 2026, evitando così il rischio di un blocco "dall'oggi al domani" che avrebbe potuto innescare preoccupanti effetti a catena, con la possibile compromissione dei database nazionali di vulnerabilità e delle advisory, degli strumenti di gestione delle minacce e delle operazioni di risposta agli incidenti, con impatti potenzialmente gravi anche sulle infrastrutture critiche.

“Grazie alle azioni del governo, è stato evitato un blocco dei programmi CVE e CWE. CISA ha identificato fondi incrementali per mantenere operativi i programmi” ha confermato Yosry Barsoum, vicepresidente del MITRE.

Per quanto la progroga rappresenti indubbiamente una buona notizia, la vicenda è anche sintomo della fragilità di un sistema globale che dipende da un singolo sponsor governativo e da un unico ente gestore, con tutti i conseguenti dubbi sulla sostenibilità del modello e anche sulla sua imparzialità. Evidentemente è suonato un campanello d'allarme: un gruppo di membri storici del CVE Board ha annunciato, poco prima della notizia della proroga, la nascita della CVE Foundation, un’organizzazione non profit dedicata a garantire l’indipendenza, la stabilità e la continuità del programma CVE nel lungo periodo.

L'obiettivo è quello di traghettare la gestione del database verso un modello di governance comunitaria, eliminando il rischio di un “singolo punto di vulnerabilità” e rafforzando la fiducia internazionale nel sistema di identificazione delle falle informatiche. Il lavoro è in corso già da un anno, con un piano di transizione in fase di sviluppo che si concentrerà silla qualità e integrità delle informazioni CVE, con la volontà di coinvolgere attivamente la comunità globale di ricercatori, vendor e operatori. “La CVE, come pilastro dell’ecosistema globale della cybersecurity, è troppo importante per essere vulnerabile essa stessa”, ha dichiarato Kent Landfield, uno dei funzionari responsabili della CVE Foundation.