De Amerikaanse overheid blijft het Common Vulnerabilities and Exposures (CVE)-programma van MITRE financieren, ondanks eerdere zorgen over het voortbestaan ervan. Eerder dit jaar waarschuwde MITRE in een interne memo dat het financieringscontract voor het programma nog niet was verlengd. Die onzekerheid veroorzaakte onrust binnen de cybersecuritygemeenschap, omdat het CVE-programma een fundamentele rol speelt in het wereldwijd registreren en delen van informatie over kwetsbaarheden.
Na het uitlekken van de brief werd er snel gereageerd vanuit de sector. Verschillende bestuursleden en betrokkenen richtten de CVE Foundation op, een onafhankelijke non-profitorganisatie die de continuïteit van het programma moest waarborgen, los van overheidsfinanciering. Deze stap onderstreepte hoe belangrijk het programma wordt geacht voor de mondiale cybersecurity-infrastructuur.
MITRE bevestigde later via LinkedIn dat het programma zonder onderbreking blijft functioneren, dankzij nieuwe financiering vanuit de Amerikaanse Cybersecurity and Infrastructure Security Agency (CISA). De voortzetting van de financiering zorgt ervoor dat MITRE zijn werkzaamheden met betrekking tot het toekennen, beheren en publiceren van CVE-nummers kan blijven uitvoeren.
MITRE, een not-for-profit organisatie die nauwe banden heeft met de Amerikaanse overheid, beheert het CVE-systeem al sinds de oprichting in 1999. Het CVE-programma is sindsdien uitgegroeid tot een van de belangrijkste middelen voor het identificeren, classificeren en delen van informatie over kwetsbaarheden in software en hardware.
Een CVE-nummer bestaat uit het label “CVE”, het jaartal van toekenning, en een uniek vijfcijferig nummer, bijvoorbeeld CVE-2025-12345. Dit standaardiseert de manier waarop kwetsbaarheden worden benoemd en maakt het makkelijker voor leveranciers, onderzoekers en beveiligingsbedrijven om te communiceren over dezelfde problemen, zonder verwarring.
Het proces rond het aanvragen van een CVE-nummer is eveneens transparant en open: onderzoekers, leveranciers of zelfs eindgebruikers kunnen een aanvraag indienen via een van de CVE Numbering Authorities (CNAs) — organisaties die gemachtigd zijn om namens MITRE CVE-nummers toe te kennen. Grote technologiebedrijven zoals Microsoft, Google en Red Hat zijn ook CNA’s.
CVE vormt de basis voor andere wereldwijde systemen zoals de National Vulnerability Database (NVD) van het NIST en commerciële scanners en vulnerability management tools. Zonder een betrouwbaar CVE-systeem zouden bedrijven veel moeilijker kunnen vaststellen of hun systemen kwetsbaar zijn, en zouden patching-processen vertragen.
De tijdelijke onzekerheid rond de financiering heeft aangetoond hoe afhankelijk de wereldwijde IT-sector is van een goed functionerend en onafhankelijk CVE-systeem. De oprichting van de CVE Foundation kan gezien worden als een stap richting een robuuster en veerkrachtiger model voor de toekomst.
