CVE (Common Vulnerabilities and Exposures) — это международная система идентификации и классификации уязвимостей в программном обеспечении, операционных системах и других ИТ-продуктах. CVE предоставляет уникальные идентификаторы для каждой известной уязвимости, что позволяет специалистам по кибербезопасности легко обмениваться информацией о них и координировать усилия по их устранению. В 2024 году было зафиксировано более 40 тыс. уязвимостей, на 38% больше по сравнению с предыдущим годом. При этом более 20 тыс. из них имели высокий уровень опасности, а 4,4 тыс. — критический уровень.

Однако в начале 2025 года MITRE Corporation, организация, которая управляет CVE по контракту с Агентством кибербезопасности и инфраструктуры США (CISA), объявила о прекращении финансирования программы, которая стала еще одной жертвой масштабного отказа администрацией Дональда Трампа от поддержки самых разных международных инициатив.

Это вызвало настоящую панику в сообществе кибербезопасности, так как CVE является ключевым ресурсом для отслеживания и устранения уязвимостей. Временно кризис был разрешен, поскольку CISA удалось воспользоваться опцией продления финансирования на 11 месяцев.

Однако это не устраняет долгосрочную неопределенность относительно будущего программы CVE. Возможно, обеспечить более устойчивое и прозрачное управление программой и диверсифицировать источники финансирования сможет экстренно созданная независимая некоммерческая организация CVE Foundation.

Действительно, в течение длительного времени программа CVE играла уникальную роль в экосистеме информационной безопасности, предоставляя стандартизированный способ идентификации и отслеживания уязвимостей. Прекращение или снижение поддержки программы может привести к ухудшению координации между организациями в борьбе с уязвимостями, замедлению процесса выявления и устранения уязвимостей, повышению рисков для огромного числа организаций, полагавшихся на CVE как на основной источник данных об уязвимостях.

А потому, несмотря на временное решение, сообщество по информационной безопасности начало пересматривать свои подходы к управлению уязвимостями. Возникла насущная необходимость в альтернативных методах анализа и устранения уязвимостей, которые не зависели бы исключительно от CVE.

И поскольку доверие к былому фактическому стандарту оценки уязвимостей подорвано, все заметнее критика его слабых мест, в том числе, отсутствие средств учета контекста (например, возможность эксплуатации уязвимости), а также недостаточная эффективность традиционных подходов (типа «залатай самую громкую уязвимость») против современных угроз.

Эксперты, указывая на необходимость комплексного подхода к уязвимостям, рекомендуют, в частности, перейти от простых их оценок к анализу реальных рисков, активнее применять не реактивные, а проактивные принципы безопасности, включая сегментацию сети, минимальные привилегии доступа и многофакторную аутентификацию, проводить регулярное тестирование на проникновение и моделирование угроз, шире использовать для повышения эффективности защиты систем новых технологий, таких как ИИ и средства автоматизации для мониторинга уязвимостей в реальном времени.