CVE Foundation爆誕！？DHSとの契約終了の危機を乗り越え、業界主導の新体制へ移行か？

もっとハッキリしたメッセージが欲しいって言っただけなのに、なんでプレスリリースが欲しいって極端な方向に決めつけるのさ？　選択肢はもっとあるし、中間地点だって全然ありえるじゃん。

関連スレッド：CVEプログラム、DHSが契約更新を怠り終了の危機 [修正済] - https://news.ycombinator.com/item?id=43700607　CVEの代替 - https://news.ycombinator.com/item?id=43708409

ソフトウェア業界の大手が、コンソーシアムみたいな形で立ち上がる時が来たんじゃない？　自分たちが一番恩恵を受けてるんだからさ。Big Tech企業はCVEを使って自社製品を守ってるんだし、資金力もある。責任を分担すればいいんだよ。セキュリティはみんなの問題なんだから。

ハハハ、CVEができたのは業界が情報をちゃんと共有しなかったからじゃん。企業は楽な方を選ぶから、CVEがなくなったら脆弱性管理は確実に後退するね。弁護士とかCTOはCVEがなくなってくれた方が嬉しいだろうね。20年以上セキュリティ業界にいるからわかるんだ。

CVEは責任の所在を明らかにするものだからね。未修正のCVEがあれば、誰かに責任を押し付けやすい。もし責任から逃げられるなら、大企業はみんな飛びつくでしょ。

そうそう。重大インシデントの15%くらいしか公表されないんじゃないかな。基本は隠蔽して、バレないように祈るのがデフォだよね。リバタリアンとかが理想とする世界になったら、汚染とかが酷くなると思うよ。人間は天使じゃないから、規制は必要不可欠なんだ。

＞ソフトウェア業界の大手が立ち上がるなら
＞ついでに、あんたらの会社が頼ってるオープンソースのメンテナーに5ドルでも恵んでやれよ。あんたら優秀なエンジニア5万人もいて、自分たちで書けないのかよ、それなしじゃ生きていけないくせに。

セキュリティのことでUS BigTechを信用する気は全くないね。コンソーシアムとか関係ない。国際的なサイバー脅威情報ネットワークが必要なんだよ。誰が資金を出すか？より、誰が一番恩恵を受けるか？を問うべきだ。

セキュリティの話だから、最悪のケースを想定しとくべき。MITREが引き継ぎを確認するまでは信用しない方がいい。確認できたとしても、疑う余地は十分にあるけどね。

政府はFacebookみたいに“Move fast and break things”すべきって言うけど、Facebookがそのために年間600億～650億ドルも使ってることはスルーなの？ 政府が同じことやると、なぜか“最小限の費用で”って話になるんだよね。“速い、安い、良い、全部は無理”ってやつだよ。

システム管理からソフトウェア開発に移ってから、セキュリティ脆弱性の監視はあんまりしてないんだよね。最近は、話題になってる脆弱性のニュースを見るくらいで、CVEをよく見かけるかな。昔はcertを見てたんだけどね。
> https://www.kb.cert.org/vuls/
まだあるか確認したよ。CVEとcertの違いとか関係って何なの？

CVEは昨日、アメリカ政府によって予期せず打ち切られて、今日のプログラムで終了するらしいよ。

契約更新の失敗が”予期せず”ってどういうこと？契約には終了日があるし、関係者はみんな知ってるじゃん。

過去25年間ずっと契約更新されてたから、今回は更新されないなんて思ってなかったんじゃない？

MITREの予算っていくらなんだろう。CISAのCVEプログラムへの資金提供は具体的には出てないけど、年間数千万ドルって見たことあるな。CVEプログラムは重要だけど、ちょっと高すぎる気がする。

年間4000万ドルだって。

CVEデータベース全体で？それってめっちゃお得じゃん！Capital Oneみたいなところが一度でも情報漏洩したら、それよりはるかに多くの価値がなくなるよ。

聞いてくれよ、こういうデータの分散型データベースって、ブロックチェーンの良い使い道になるんじゃないかな？合意形成が必要で、改ざんできなくて、分散されてる。
CVEデータベースが必要なユーザーは、bit torrentとかから台帳のコピーを取って、データを解析すればいい。CVEってそんなに頻繁に更新されるわけじゃないし、全部記録しておかなきゃいけないんだから。更新はチェーンに新しいエントリを追加するだけでできるし、悪意のある人が改ざんすることもできない。

合意形成も必要ないし、改ざんできない必要もないよ。単なるアドバイザリーデータだし。誰かが自分のCVEデータを検閲したり改ざんしたりしても、ユーザーが迷惑するだけで何の得にもならないじゃん。集中型のデータベースとミラーで十分だよ。今までそれでうまくいってたんだし。必要なのは、データが自由に利用できて共有されて、他の機関もソフトウェアの脆弱性をカタログ化して冗長性と重複性を持たせることだよ。

CVEデータベースの利用目的について、ほとんど全部間違ってるよ。

これマジだといいなー。情報全然ないじゃん。発表に対応してるって言う一方で、1年前から計画してたって言ってるし。でも、1年前から本気で計画してたなら、もっと早く何か発表してそうなもんだけどなー。なんか、色々揉めそうな予感。みんなで一つの解決策に協力できれば最高だけど、これってそうなるのかな？アメリカ拠点の非営利団体ってのも、ベストな解決策とは言えないかもね。

プレスリリースの情報が少なすぎて、コメントがネガティブになるのも無理ないけど、 legit だと思える理由があるから vouch しといた。

理由をみんなにも教えてくれよー。

中国とロシアは、北朝鮮とデータ共有してて、まるで性欲過剰なボーイスカウトみたいに24時間365日うろついてるのに、イースター休暇取らなかったのかよ。マジ心配。
Cloudstrike は waferlocks 以来のクソゴミになったし…
北朝鮮にとって一番儲かる外貨収入源は、盗まれた vit-xoins だったり、政府関係者が無理やりデスクから排除されたり…
え、マジ？
俺が？
心配？

Packs は cub scouts 用だろ。troop だったら oversexed って言えるね。

ちょっと話は逸れるけど、今回の件は、プログラムの運営方法に大きな変化をもたらすってわけじゃないかも。財団が業界からの資金を集める窓口になって、プログラム自体は MITRE との契約で運営されるってこともあり得る。

これ、Google Workspace のサイトで、11時間前に立ち上げられたみたいだけど、公式の情報源からはリンクされてないね。CVE が作ったサイトなら、公式サイトとかSNSアカウントからリンクするはずなのに、それがないのは怪しいと思う。

みんながこのサイトを報告して、Google が早く削除してくれるといいんだけど。

別のスレッドで予想した通り、CVE プログラムがダメになったせいで、CVE のデータベースが分裂しそう。これからどれだけ色んなデータベースが出てくるんだろうか。

もし本当なら、これは良い結果になりそうだね。アメリカが Mitre の契約を打ち切る前の状態よりはマシな場所に落ち着けたんじゃないかな。

手紙昨日付なのに、この件に一年も費やしたってマジ？

＞起こってほしくなかったけど、この事態に備えて準備してきた。
＞対応として、連合が…
これって秘密裏な非公式の計画って感じじゃん？まるで「この日」が急に訪れたみたいだね。

「秘密」の計画ってわけじゃないと思うけど、間違いなく非公式な計画だよね。

表面的には、信頼できる役割を得るために悪意のあるやつが考えたスキームみたいに聞こえるな。外部からの裏付けも出てきてるから、結局は正当なものだってわかるかもしれないけど、用心しとくのが一番だよ。

だよねー。CVEデータベースのコピーとか、お金の要求とか、差し迫った脅威を見せないのは、善意のサインじゃなくて、典型的な長期詐欺の手口だと思っていいんじゃない。

編集：他のコメント参照。CVEの理事の何人かはソーシャルメディアで共有してるけど、公式のCVEチャンネルにはまだ何もないね。一年かけて準備してたって言うのに、リーク後に登録されたドメインでGoogleサイトで運営されてるってのが気になる。
オリジナルコメント：
なんでこんなにアップされてるの？CVEのウェブサイトに何も書いてないし、ドメインはリーク後に登録されたのに、一年かけて準備してたって書いてあるじゃん。それに、WHOISの登録者は”CVE Foundation”だけど、IRSの検索ツールで見つからないんだよね（MITREはちゃんと出てくるのに）。

これに同意。CVEみたいなプログラムは、ある程度（少なくとも初期段階では）、伝統的な、暗号化されていない信頼に基づいて構築される必要があると思う。
誰が運営してるんだ？誰が資金提供してるんだ？誰が報告書をレビュー、テスト、承認してるんだ？IDを割り当ててるのは誰？
期待したいし、今回のタイミングが最悪だから疑わずにいたいけど、現状ではこの組織を全く信用できない。

CVEがアメリカ政府に対してCVEを発行しなきゃいけないなんて悲しい日だね。メタだ…メタ…

みんな喜んでるよ。

めっちゃね。みんなめっちゃ喜んでるよ。Whitehouseとデータ共有しないで、津波を防いでくれ。
「お前らのアップデートは全部俺のもの」みたいにならないで。
あと、過去一年間に貢献してくれた全てのセキュリティ研究者に感謝します。CVEを見つけたら、帯域外アップデートを探して、電源が入るもの全てにパッチを当ててるよ。
古いおばあちゃんのラップトップが侵害されたけど、ちゃんと持ってきてくれたんだ。みんなカメラにカバーをつけてね。

めっちゃいいね！

The Foundationは、アメリカ政府機関とか、それにサービス提供してる関連企業にデータ提供拒否すべきじゃね？

CVEの移転って公式発表なくね？thecvefoundation.orgって信用できるの？やるなら本気でやってよ。CVE.arpaみたいな信頼性高いの作って、公式声明出してさ。今のままだと中途半端じゃね？

アメリカじゃ、組織とか役員が政府に脅されてるじゃん。勘弁してよ。Harvardみたいに政権にへりくだらないとどうなるか見てみろよ。アメリカの非営利団体は独立してないんだよ。

非営利団体が連邦政府の金もらってなかったら独立してるってこと？EFFみたいにさ。CVEはULみたいに非政府機関が管理すべきじゃね？

＞非営利団体が連邦政府の金もらってなかったら独立してるってこと？Like EFF, for example。”問題は非営利団体の所在地だよ。アメリカにある限り、口外禁止命令とか（イギリスも同じでAppleとE2E暗号化の問題があったよね）、政権が法律無視して潰せるんだよ。
＞Maybe CVEs should be tracked by a nongovernmental agency, like how UL works.”今の政権はすでに多くの非政府機関を攻撃してるし、連邦法を踏みにじってる。WHOみたいな外交条約に守られた国際機関しか信用できないかも。でもICC vs IsraelとかWHOへの攻撃とか陰謀論見てたら安全とは言えないか。

＞as long as it is in the US it remains vulnerable to stuff like gag orders
FISA warrantが出てて捜査内容を公開できない時とか、裁判で裁判官が事件の詳細をリークすると司法に影響が出ると判断した場合だけじゃね？

今の政権が法の支配を尊重すると信じる？それが一番の問題だと思うわ。

たぶんほとんど（全部じゃないけど）の政権よりはマシ。でも、どの政権も法の支配を踏みにじってきた。FDRとかWilsonとか最悪だったじゃん。少なくとも今の政権は監視の目が多いだけマシ。

＞WHO conspiracy theory
はいはい、あなたの立場はわかりました。ほとんどの分子生物学者がWHOがCOVIDの起源を隠蔽してると考えてるのにね。

今の政権が、お気に入りの企業、例えばx.comが作った製品についてCVEが発行されたら文句言うのは想像に難くないよね。

Harvardってめちゃくちゃ連邦政府から金もらってんだよね。マジで何百万ドルから何十億ドルレベル。

でもさ、そいつら（Harvard）はその何十億ドルを維持するために、自分たちの主義を妥協しろって要求を拒否したんだよ。他の多くの組織が脅しに屈したのに。