Federal olarak finanse edilen, kâr amacı gütmeyen araştırma ve geliştirme kuruluşu olan MITRE'nin CVE yönetim kuruluna göndermiş olduğu mektup sonrasında kısa süreli de olsa siber güvenlik dünyasında büyük ses getirdi. Olay, kısa vadede çözüme kavuşsada gelecek açısından çözümler üzerinde çalışılmaya başlanıldı.
MITRE Başkan Yardımcısı Yosry Barsoum, 15 Nisan 2025'te CVE yönetim kuruluna göndermiş olduğu mektupta, 16 Nisan 2025 tarihi itibariyle MITRE'nin CVE ve diğer ilgili programları geliştirmesi, işletmesi ve modernize etmesi için mevcut sözleşmesinin biteceğini bildirdi. Böylece 16 Nisan'dan itibaren yeni CVE'lerin sisteme eklenmeyecekti.
CVE referansları, siber güvenlik ekosisteminde güvenlik açıklarını izlemek ve takip etmek için küresel ölçekte ortak bir referans noktası olarak yer alıyor. MITRE'de ABD İç Güvenlik Bakanlığı'nın (DHS) Ulusal Siber Güvenlik Bölümü'nden aldığı fonla, CVE programını yürütmektedir.
Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA), 16 Nisan 2025'te aldığı kararla Ortak Güvenlik Açıkları ve Etkilenmeler (CVE) programında süreklilik sorunları yaşanmamasını sağlamak amacıyla MITRE ile yeniden sözleşme imzalayarak programı 11 ay daha uzattı.
CISA'nın kararından önce, CVE yönetim kurulu üyelerinden oluşan bir grup, CVE programının bağımsızlığını güvence altına almak için kurulan ve kar amacı gütmeyen bir kuruluş olan CVE Vakfı'nın kurulduğunu duyurdu. Daha detaylı bilgilerin ilerleyen süreçte verileceği belirtilsede, CISA'nın MITRE ile olan sözleşmesini yenilemesinin ardından biraz daha ağırdan alabilirler gibi gözüküyor.
Siber güvenlik ekosistemindeki önemli topluluklardan biri olan OWASP, 17 Nisan 2025'te yeni bir duyuru yayınladı. OWASP, CVE programının etkinliği ve ABD hükümetinin dünyanın en büyük güvenlik açığı veritabanını yönetmedeki rolünün sürdürülebilirliği konusundaki artan endişelere yanıt olarak, siber güvenlik liderlerini ve uluslararası paydaşları bu konuda yeni bir çerçeve oluşturmaya çağırdı.
Programın, ABD hükümetinin fonlamasıyla sürdürülmesi ve bu hafta içerisinde de çok kırılgan bir yapısının ortaya çıkmasıyla siber güvenlik ekosistemindeki paydaşları yeni bir çözüm arayışına sevk etti denilebilir. Kriz, kısa vadede çözüme kavuşsada gelecek açısından endişeler hala devam ediyor.
