CVE 재단

 (thecvefoundation.org)
1P by GN⁺ 2일전 | ★ favorite | 댓글 1개
  • CVE Foundation이 CVE Program의 장기적인 지속 가능성과 독립성을 보장하기 위해 설립됨
  • CVE Program은 25년 동안 글로벌 사이버 보안 인프라의 중요한 기둥으로 작용해 왔음
  • 미국 정부의 계약 종료로 인해 CVE Program의 독립적인 운영 필요성이 대두됨
  • CVE Foundation은 비영리 단체로서 고품질의 취약점 식별을 지속적으로 제공할 예정임
  • 국제 사이버 보안 커뮤니티에 중요한 기회를 제공함

CVE Foundation 설립 배경

  • CVE Foundation이 공식적으로 설립되어 CVE Program의 장기적인 지속 가능성과 독립성을 보장하기 위한 기반을 마련함
  • CVE Program은 미국 정부의 자금 지원을 받아 운영되었으나, 단일 정부 후원에 의존하는 구조에 대한 우려가 제기됨

CVE Program의 중요성

  • CVE는 글로벌 사이버 보안 생태계의 핵심 요소로, 보안 전문가들이 일상적으로 사용하는 중요한 자원임
  • CVE 식별자와 데이터는 보안 도구, 권고사항, 위협 인텔리전스 및 대응에 필수적임

CVE Foundation의 역할

  • CVE Foundation은 취약점 관리 생태계에서 단일 실패 지점을 제거하고, CVE Program이 글로벌 신뢰를 받는 커뮤니티 주도 이니셔티브로 남도록 보장함
  • 국제 사이버 보안 커뮤니티에 맞는 거버넌스를 수립할 기회를 제공함

향후 계획

  • CVE Foundation은 구조, 전환 계획 및 커뮤니티 참여 기회에 대한 정보를 제공할 예정임
  • 추가 정보나 문의는 info@thecvefoundation.org로 연락 가능함
GN⁺ 2일전  [-]
Hacker News 의견
  • CVE 이사회 구성원의 LinkedIn 게시물 링크를 공유하며, 다른 이사회 구성원의 연락처 정보와 방송 플랫폼에서도 관련 정보를 찾을 수 있을 것이라고 언급함
  • 계약이 마지막 순간에 갱신되었다는 수정 사항을 제시함
  • 소프트웨어 산업의 주요 기업들이 공식 컨소시엄을 통해 나서야 할 때라고 생각함
    • 이 모델은 그들이 가장 큰 혜택을 받기 때문에 타당함
    • 대형 기술 회사들은 CVE를 통해 자사 제품을 보호함
    • 그들은 막대한 수익과 전담 보안 팀을 보유하고 있어 CVE 운영을 쉽게 지원할 수 있음
    • 컨소시엄 접근 방식은 책임을 공정하게 분담함
    • 보안은 모두의 문제임
  • 관련 진행 중인 스레드 링크를 공유함
  • 보안 문제이므로 최악의 상황을 가정해야 하며, MITRE가 인수를 확인하지 않는 한 합법적이지 않다고 가정함
  • MITRE의 예산이 궁금하며, CVE 프로그램에 대한 CISA의 자금 지원이 명확히 구분되지 않지만 연간 수천만 달러라는 것을 보았음
  • 시스템 관리에서 소프트웨어 개발로 전환한 이후로 보안 취약점을 적극적으로 모니터링하지 않았으며, 요즘은 고프로파일 취약점에 대한 뉴스를 읽음
    • CVE를 cert보다 더 많이 봄
    • cert의 차이점과 관계가 궁금함
  • 이 상황이 유지된다면 이전보다 더 나은 결과라고 생각함
  • 보도 자료에 정보가 거의 없어서 부정적인 댓글이 많지만, 합법적이라고 믿을 이유가 있어 지지함
  • 이 상황이 합법적이기를 바람
    • 발표에 대응하고 있으며 1년 동안 계획해왔다고 하지만, 마지막 부분이 강하게 계획되었다면 더 일찍 발표했을 것이라고 의심함
    • 노력이 분열될 가능성이 있다고 생각함
    • 모두가 단일 솔루션을 지지한다면 좋겠지만, 이것이 그 솔루션인지 확신하지 못함
    • 미국 기반의 비영리 단체가 최선의 해결책은 아닐 수도 있음
답변달기