ABD Hükümeti’nin CVE Siber Güvenlik Programı İçin Sağladığı Fonun Süresi Dolmak Üzere

Ortak Zafiyetler ve Maruz Kalma (CVE) programı, belirsiz bir gelecekle karşı karşıya çünkü ABD hükümeti, söz konusu girişimi kâr amacı gütmeyen MITRE organizasyonu aracılığıyla desteklemek için kontratını yenilemedi ve bu kontrat bugün, 16 Nisan’da sona eriyor. Siber güvenlik uzmanları şimdi olası küresel güvenlik sonuçları konusunda uyarıda bulunuyorlar.

1999’da başlatılan CVE programı, bir kimlik sistemini geliştirmeyi ve mühendislerin ve organizasyonların dünya genelindeki güvenlik açıklarını belirlemeyi, yamaları uygulamayı ve hafifletmeyi hedeflemiştir. “CVE” harfleriyle başlayan ve ardından yıl ile benzersiz bir numaranın geldiği bir kod düşünün—örneğin Meta’nın AI Çerçevesinde bulunan CVE-2024-50050 veya birkaç hafta önce tespit edilen Chrome sıfır gün güvenlik açığı CVE-2025-2783—program, küresel güvenlik açıklarını düzenler ve kontrol altında tutar.

MITRE Corporation, kuruluşundan bu yana CVE sisteminin bakımını ve işletmesini sürdürmektedir ve son 25 yıldır sürekli olarak Homeland Security (DHS) Bakanlığı ve Siber Güvenlik ve Altyapı Güvenlik Ajansı’ndan (CISA) mali destek almaktadır.

MITRE’deki Homeland’in Güvencesi Merkezi (CHS) Başkan Yardımcısı ve Direktörü Yosry Barsoum tarafından CVE’nin yönetim kurulu üyelerine gönderilen dahili bir mektup sızdırıldı ve Bluesky’de halka açık bir şekilde paylaşıldı.

“MITRE’nin CVE’ye sürekli desteği ile ilgili önemli bir potansiyel sorunu sizinle paylaşmak istiyoruz,” diye belirtiyor belge. “Çarşamba, 16 Nisan 2025’te, MITRE’nin CVE’yi geliştirmek, işletmek ve modernize etmek için mevcut sözleşme yolu, CWE gibi birkaç diğer ilgili programla birlikte sona erecek.”

The Verge sosyal medya platformunda açıklanan bilgileri doğruladı ve Barsoum’a ulaştı, Barsoum hükümetin MITRE’ye desteği sürdürme çabalarını sürdürdüğünü ve bu arada, yazılım ve donanım zafiyetlerine odaklanan Common Weakness Enumeration (CWE) programının da etkileneceğini belirtti.

Siber güvenlik araştırmacısı Lukasz Olejnik, X hakkındaki endişelerini paylaştı. “Trump yönetimi, küresel siber güvenlik sistemini etkin bir şekilde (en azından geçici olarak) felç edecek,” diye yazdı bir gönderisinde. “Sonuç, satıcılar, analistler ve savunma sistemleri arasında koordinasyonun bozulması olacak – kimse aynı zafiyete atıfta bulunduklarından emin olmayacak. Tam bir kaos ve siber güvenlikte genel bir zayıflama aniden gerçekleşecek.”

Kuruşluk maliyetleri bile kırpma eylemi, Trump yönetimini global siber güvenlik sistemini – CVE’yi – etkili bir şekilde (en azından geçici olarak) felç edecek bir duruma getirecek. Peki CVE nedir? CVE, bir nevi… için ortak dil görevi gören ve küresel çapta güvenlik açıklarını belirleme ve izleme sistemidir pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 15 Nisan 2025

MITRE dahil olmak üzere diğer uzmanlar ve kuruluşlar, CVE programının hizmetine ve düzenli operasyonlarına devam etmek için başka finansman kaynakları ve alternatifler bulmayı bekliyor.