Hacker News 의견

• CVE Foundation 관련 논의가 진행 중임
• MITRE와의 계약이 연장되었음
• CVE Board 멤버들이 새로운 CVE Foundation을 출범하여 CVE 프로그램의 장기적인 안정성과 독립성을 보장하려고 함
• DHS 내부의 부서 간 분리로 인해 이 문제의 부정적인 측면을 충분히 인식하지 못한 것 같음
• CVE 프로그램의 중요성을 인식하지 못한 고위 재무 부서가 잘못된 결정을 내린 것으로 보임
• 많은 ycombinator 창업자와 Hacker News 독자들이 이 문제를 가능하게 했고, 이제 그 결과에 대해 의문을 품고 있음
• 사회에 중요한 다른 것들이 최근 몇 주 동안 조용히 사라졌을 가능성을 생각하게 됨
• 현재 CVE 구현에 주요 문제가 있었음. 특히 스크립트 키디와 AI 도구가 데이터베이스를 스팸으로 채우고, 보안을 중요시하는 프로젝트가 점수에 거의 영향을 미치지 못하는 점이 문제였음
• OSS 소프트웨어에서 CVE 관리를 하는 사람들은 NVD 자금 삭감이 1년 이상 지속되어 왔음을 이미 알고 있음
• NIST는 국가 취약점 데이터베이스(NVD)를 유지하고 있으며, 이는 국가 사이버 보안 인프라의 핵심 요소임
• 소프트웨어 증가로 인해 취약점이 증가하고 있으며, 기관 간 지원 변화로 인해 취약점 처리에 어려움이 있음
• 장기적인 해결책으로 산업, 정부, 기타 이해관계자 조직의 컨소시엄 설립을 고려 중임
• Yocto Project는 CVE Project와 CNAs에 공개 서한을 보냈으며, 최근 사건들이 프로젝트의 취약점 식별과 해결에 부정적인 영향을 미쳤다고 우려를 표명함
• 5년 전, Carnegie Mellon의 CERT Director가 CVE 백로그와 자원 부족 문제를 발표했으며, 많은 보고된 취약점이 CVE 번호를 받지 못하고 있음
• MITRE의 CVE 및 CWE 프로그램 참여를 위한 최신 계약은 2024년 4월 17일부터 2025년 4월 16일까지 USD$29.1m로 체결되었으며, 최대 USD$57.8m까지 연장 가능성이 있음
• 2025년 4월 16일부터 2026년 4월 16일까지 계약 연장 여부는 아직 결정되지 않았으며, 대체 계약에 대한 공개적인 접근 방식도 없음