ABD hükümeti, güvenlik açıklarını takip eden CVE veritabanının finansmanını ilk başta kestiği halde, CISA (Siber Güvenlik ve Altyapı Güvenliği Ajansı) yaptığı açıklamada, bu veritabanının en azından 11 ay daha finanse edilmeye devam edeceğini duyurdu.
Çarşamba sabahı, Common Vulnerabilities and Exposures (CVE) veritabanının finansmanının kesildiği haberleri gündeme geldi. Ancak birkaç saat içinde, finansmanının bir yıl daha sürdürüleceği açıklandı.
CVE Veritabanının Önemi
CVE, modern siber güvenliğin önemli bir parçasıdır. Bu veritabanı, işletim sistemlerinde ve yazılımlarda bulunan güvenlik açıklarının merkezi bir listesidir ve bu açıklar, bilgisayar korsanları ve kötü amaçlı yazılımlar tarafından hedeflere saldırmak için kullanılabilir.
Savunma alanında faaliyet gösteren MITRE Corporation, CVE veritabanını sürdürmek için gerekli finansmanın Çarşamba günü sona ereceğini açıkladı. Aynı zamanda Common Weakness Enumeration (CWE) programının da finansmanının durdurulacağı belirtildi.
CISA’dan Açıklama
CISA, Reuters haber ajansına, bu sözleşmenin sona erdiğini doğruladı. ABD İç Güvenlik Bakanlığı, CISA’nın bağlı olduğu kuruluştur ve sözleşmeyi finanse eden kurumdur.
CISA, finansmanın kesilmesinin etkilerini asgariye indirmek için çalıştığını belirtirken, veri tabanının geleceği hakkında kesin bir bilgi vermemişti. Ancak, CVE’nin aktif kalacağı doğrulandı.
11 Ay Daha Güvence Altında
CISA, BleepingComputer ile yaptığı görüşmede, ajansın sözleşme üzerindeki opsiyon süresini Çarşamba akşamı devreye aldığını ve böylece CVE hizmetlerinde bir kesinti yaşanmayacağını bildirdi. Bu sürenin toplam 11 ay olduğu bilinmektedir, ancak daha sonra uzatılıp uzatılmayacağına dair bir garanti yoktur.
CVE, güvenlik ekosisteminin kritik bir parçasıdır. Örneğin, Apple sık sık bu veritabanına başvurarak, iOS ve macOS için yapılan güvenlik güncellemelerinde hangi sorunların düzeltildiğini ve hangi güvenlik açıklarının kapatıldığını öğrenir. Bu verilerin merkezi bir yerde toplanması, araştırmacıların daha iyi işbirliği yapmasına olanak tanır.
Önceki finansman kesintisi haberinin ardından, güvenlik araştırmacıları ve sektör üyeleri, bunun güvenlik açısından ne kadar olumsuz bir durum olduğunu dile getirdiler. Eski CISA Başkanı Jean Easterley, LinkedIn’de paylaştığı yazıda, CVE veritabanının potansiyel kapatılmasının iş riski ve ulusal güvenlik açısından ciddi sonuçları olabileceğini ifade etti.
Easterley, güvenlik uzmanlarının mevcut tehditleri anlamadan sistemlerini korumaya çalışacaklarını belirterek, bunun sonucunda güvenlik ihlalleri ve fidye yazılımlarında artış, güvenlik masraflarında yükseliş ve tüketici ile düzenleyici kuruma olan güvenin azalacağını vurguladı.
Bilgisayar güvenliği tarihçisi Brian Martin, finansman eksikliğinin “küresel olarak hızlı ve geniş çaplı etkileri” olacağını belirtti. Bu durum, Bilgisayar Acil Durum Yanıt Takımları (CERT) için önemli bir bilgi kaynağının kaybı anlamına geliyor ve şirketler, güvenlik yönetimi programlarında “hızlı ve keskin acılar” yaşayacaklar.
Güncelleme: 16 Nisan 2025, 14:34 Doğu Saati – Finansman uzatması duyurulmuştur.
