В последние годы программа Common Vulnerabilities and Exposures (CVE), являющаяся глобальным стандартом для идентификации и классификации уязвимостей в программном обеспечении, становится ареной масштабных дебатов и противоречий. Cybersecurity and Infrastructure Security Agency (CISA) - агентство правительства США, отвечающее за кибербезопасность, начало утверждать свои полномочия и контроль над программой, когда она оказалась на грани закрытия в начале 2025 года. Этот инцидент и последующее заявление CISA о новой стратегии развития CVE могут кардинально повлиять на структуру управления программой, вызвав вопросы о будущем международного сотрудничества и прозрачности. Программа CVE была запущена в 1999 году и с тех пор стала основой для идентификации уязвимостей в области кибербезопасности. Ее ведением на протяжении большей части истории занималась некоммерческая организация MITRE под контрактом с правительством США.
Такая модель работы оказалась достаточно успешной, однако в 2025 году CISA почти дала срок на завершение контракта, что вызвало серьезное беспокойство в профессиональном сообществе. Фактически, CVE могла быть приостановлена или передана под другое управление, если бы не временное продление. В ответ на неопределенность и без ясной перспективы в части финансирования и управления был создан CVE Foundation - независимый фонд, целью которого является удержание программы вне политического и корпоративного влияния, расширение международного сотрудничества и обеспечение прозрачного, сбалансированного управления. Эта инициатива была воспринята как попытка снижения зависимости CVE от правительства США и MITRE, переход к более децентрализованной и нейтральной структуре управления. Однако представители CISA выразили несогласие с таким подходом.
В опубликованном ими видении будущего CVE и в сопутствующем блоге заместителя директора по кибербезопасности Николя Андерсена было четко заявлено, что именно правительство должно сохранять лидерство в программе. Главной причиной была обозначена национальная безопасность и необходимость надежной системы идентификации уязвимостей, управляемой государственным органом без конфликта интересов. Согласно позиции CISA, приватизация или переход к альтернативному управлению программой могут привести к конфликтам интересов, где корпоративные или коммерческие мотивы будут ставиться выше национальной безопасности. Таким образом, по мнению агентства, правительство США обязано взять на себя более активную роль и обеспечить долгосрочную стабильность и качество CVE. История последнего года показала, что фондирование и управление CVE не были прозрачными и стабильными.
Советы программы, состоящие из волонтеров и экспертов, зачастую оставались в неведении относительно планов по контракту и финансированию. Это добавило напряженности и подстегнуло создание независимого фонда. Тем не менее, общественное и профессиональное мнение разделилось - одни видят в государственной роли надежный гарантий стабильности и безопасности, другие - опасаются чрезмерного контроля и политизации программы. MITRE, несмотря на происходящее, предпочитает не комментировать конфликт и выражает надежду на возвращение к более традиционной модели сотрудничества с правительством и партнерами. Такая позиция демонстрирует их стремление сохранить статус-кво и дальнейшую поддержку CVE в привычном формате.
Сложившаяся ситуация ставит перед мировым сообществом кибербезопасности серьезные вопросы. Программа CVE является международным стандартом, обслуживающим огромное количество участников - от частных компаний и исследователей до правительственных организаций. Любые изменения в управлении CVE, особенно с усилением контроля одной страны, могут повлиять на глобальную прозрачность процессов, доверие участников и доступ к важной информации об уязвимостях. Кроме того, учитывая, что современный киберпространство является глобальным и взаимозависимым, вопросы международного сотрудничества и нейтралитета в управлении настолько критичны, чтобы избежать конфликта интересов и политических игр, влияющих на кибербезопасность всех участников. Отсутствие ясности относительно планов CISA после марта 2026 года и нежелание агентства более подробно раскрывать стратегические замыслы только усиливает напряженность и опасения сообщества.
Является ли возвращение к более жесткому государственному контролю шагом к стабилизации и улучшению качества программы, или эта стратегия приведет к снижению международного авторитета CVE, покажет время. Появляется понимание, что управление уязвимостями и стандарты безопасности - это не только технический процесс, но и мощный политический инструмент. Именно от того, насколько удастся сбалансировать интересы национальной безопасности, независимости и международного сотрудничества, зависит эффективность и надежность системы защиты цифровой инфраструктуры. В конечном итоге, борьба за доминирование над программой CVE отражает более широкий конфликт между централизованным государственным управлением и стремлением к децентрализованным, нейтральным и мультисторонним моделям управления критическими ресурсами кибербезопасности. И именно в этой динамике будет строиться будущее защиты от цифровых угроз во всем мире, что делает происходящее крайне значимым и заслуживающим пристального внимания.
.
