MITRE Corporation, 1999 yılında yazılım ve bellenimdeki (firmware) güvenlik açıklarını kategorize etmek için bir referans kataloğu olarak CVE (Common Vulnerabilities and Exposures – Yaygın Güvenlik Açıkları ve Etkilenmeler) programını oluşturmuştu. CVE sistemi, kuruluşların siber güvenlik açıklarıyla ilgili bilgileri tartışmasına ve paylaşmasına, güvenlik açıklarının ciddiyetini değerlendirmesine ve bilgisayar sistemlerini daha güvenli hale getirmesine yardımcı olan ve bir çok çözüm sağlayıcı tarafından referans alınan önemli bir model.
15 Nisan 2025 tarihinde, DHS (U.S. Department of Homeland Security – ABD İç Güvenlik Bakanlığı), kar amacı gütmeyen Ar-Ge kuruluşu MITRE ile, bilgisayar açıklarını düzenleyen Ortak Güvenlik Açıkları ve Maruz Kalmalar (CVE) veritabanını korumak için yaptığı finansman sözleşmesinin 16 Nisan gecesi sona ereceğini duyurmuştu. Bu ani gelişme, kurumların güvenlik açığı takibinin geleceğini bir anda belirsiz bir durumda bırakmıştı.
Bu hikayenin ilk yayınlanmasından hemen sonra, CISA (Cybersecurity and Infrastructure Security Agency – Siber Güvenlik ve Altyapı Güvenliği Kurumu Başkanlığı), MITRE CVE programının kapatılmasını önleyen bir sözleşme uzatması imzaladı. Bir CISA sözcüsü, CSO’ya bir bildiri göndererek, “CVE Programı siber topluluk için paha biçilmezdir ve CISA’nın önceliğidir. Dün gece CISA, kritik CVE hizmetlerinde herhangi bir gecikme olmamasını sağlamak için sözleşmedeki opsiyon süresini gerçekleştirdi. Ortaklarımızın ve paydaşlarımızın sabrı için teşekkür ederiz.” açıklamasını yaptı.
Şu anki durumda kaynaklar, sözleşme uzatmasının 11 ay süreceğini söylüyor (kaynak).
Bir çok üretici ve çözüm sağlayıcı CVE programını referans olarak kullanıyor. Biz de Forcerta olarak çözümlerini ve ilgili katma değerli danışmanlık hizmetlerini sunduğumuz Security Scorecard’a durumu sorduk. Security Scorecard tarafından yapılan açıklamayı aşağıda paylaşıyoruz.
CVE Program Güncellemesine İlişkin SecurityScorecard Beyanı
SecurityScorecard, Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) tarafından yapılan ve MITRE’nin Ortak Güvenlik Açıkları ve Maruz Kalmalar (CVE) programı için ABD hükümeti finansmanının uzatıldığını ve hizmetin kesintisiz olarak devam etmesini sağladığını doğrulayan son duyuruyu kabul eder.
Siber güvenlik topluluğunun yaygın olarak güvendiği kritik CVE kaynağı için anında süreklilik endişelerini azaltan bu proaktif önlemi takdir ediyoruz. Ayrıca, bu istihbaratı güvenlik topluluğuna bir araya getirme ve sağlama konusunda da küçük bir rol oynuyoruz: yeni ve güncellenmiş CVE’leri izlemek için SecurityScorecard https://www.cvedetails.com/ bağlantısına göz atın.
Buna paralel olarak, SecurityScorecard, müşterilerimize sağlam ve kapsamlı siber güvenlik içgörüleri sunma yeteneğimizi daha da güçlendirerek, dahili güvenlik açığı istihbaratı yeteneklerimizde planlanan iyileştirmelerle devam edecektir. Ek olarak, yeni kurulan CVE Vakfı’nın gelişimini ve Avrupa Birliği Siber Güvenlik Ajansı’nın bir Avrupa güvenlik açığı veritabanı (EUVD) başlatmasını yakından takip ediyoruz. SecurityScorecard, kesintisiz, doğru ve eyleme geçirilebilir siber güvenlik istihbaratını sürdürmek için çeşitli ve güvenilir kaynaklardan yararlanmaya kararlıdır.
Kapsamlı siber güvenlik kapsamı sağlamak için müşterilerimizi ek gelişmeler ve devam eden proaktif önlemlerimiz hakkında bilgilendireceğiz.
Bu konu hakkında ve diğer çözümlerimiz hakkında bilgi almak için Forcerta ile iletişime geçebilirsiniz.