في التدافع في الساعة الحادية عشرة قبل أن تنتهي صلاحية عقد رئيسي مساء الثلاثاء ، جددت وكالة الأمن السيبراني والبنية التحتية للولايات المتحدة تمويلها لمشروع تتبع البرمجيات منذ فترة طويلة المعروف باسم برنامج الضعف والتعرضات المشتركة. تديرها برنامج CVE ، الذي تديره مجموعة الأبحاث والتنمية غير الربحية ، وهو عبارة عن مجموعة من الأمن السيبراني العالمي-مما يوفر البيانات والخدمات الهامة للدفاع الرقمي والبحث.
يخضع برنامج CVE لمجلس يضع أجندة وأولويات ميتري لتنفيذها باستخدام تمويل CISA. وقال متحدث باسم CISA يوم الأربعاء إن العقد مع ميتري يمتد لمدة 11 شهرًا. وقالوا في بيان “برنامج CVE لا يقدر بثمن بالنسبة للمجتمع السيبراني وأولوية CISA”. “في الليلة الماضية ، نفذت CISA فترة الخيار على العقد لضمان عدم وجود انقضاء في خدمات CVE الحرجة. نحن نقدر صبر شركائنا وصبر أصحاب المصلحة.”
قال نائب رئيس Miter ومدير مركز تأمين الوطن ، Yosry Barsoum ، في بيان يوم الأربعاء ، “حددت CISA التمويل الإضافي للحفاظ على البرامج”. مع انخفاض الساعة قبل صدر هذا القرار ، أعلن بعض أعضاء مجلس إدارة برنامج CVE عن خطة لنقل المشروع إلى كيان جديد غير ربحي يسمى مؤسسة CVE.
“منذ إنشائها ، عمل برنامج CVE كمبادرة تمولها الحكومة الأمريكية ، مع الإشراف والإدارة المقدمة بموجب العقد. في حين أن هذا الهيكل قد دعم نمو البرنامج ، فقد أثار أيضًا مخاوف طويلة الأمد بين أعضاء مجلس CVE حول استدامة وحيد الموارد التي تعتمد على مستوى عالمي يتم ربطها برعاية حكومية واحدة” ، كتبت المؤسسة في بيان. “لقد أصبح هذا القلق عاجلاً بعد خطاب في 15 أبريل 2025 من ميتري لإخطار مجلس إدارة CVE بأن حكومة الولايات المتحدة لا تنوي تجديد عقدها لإدارة البرنامج. بينما كنا نأمل أن لا يأتي هذا اليوم ، فإننا نستعد لهذا الاحتمال.”
من غير الواضح من هو من لوحة CVE الحالية تابعة للمبادرة الجديدة بخلاف Kent Landfield ، وهو عضو في صناعة الأمن السيبراني منذ فترة طويلة تم نقله في بيان مؤسسة CVE. لم ترد مؤسسة CVE على الفور طلبًا للتعليق.
لم ترد CISA على أسئلة من Wired حول سبب قيام مصير عقد برنامج CVE المعني وما إذا كان مرتبطًا بتخفيضات الميزانية الأخيرة التي تجتاح الحكومة الفيدرالية كما فرضت عليها إدارة ترامب.
شعر الباحثون ومهنيو الأمن السيبراني بالارتياح يوم الأربعاء بأن برنامج CVE لم يتوقف فجأة عن الوجود نتيجة لعدم الاستقرار غير المسبوق في التمويل الفيدرالي الأمريكي. وأعرب العديد من المراقبين عن تفاؤل حذر من أن الحادث يمكن أن يجعل برنامج CVE في النهاية أكثر مرونة إذا كان ينتقل ليكون كيانًا مستقلًا لا يعتمد على التمويل من أي حكومة أو مصدر واحد آخر.
يقول باتريك جاريتي ، باحث أمني في Vulncheck: “برنامج CVE أمر بالغ الأهمية ، ومن مصلحة الجميع أن ينجح”. “تعتمد كل مؤسسة تقريبًا وكل أداة أمنية على هذه المعلومات ، وهي ليست فقط الولايات المتحدة ، إنها مستهلكة على مستوى العالم. لذلك من المهم حقًا أن تكون خدمة مقدمة من المجتمع ، ونحن بحاجة إلى معرفة ما يجب القيام به حيال ذلك لأن خسارة ذلك سيكون خطراً على الجميع.”
تشير سجلات المشتريات الفيدرالية إلى أنه يكلف عشرات الملايين من الدولارات لكل عقد لتشغيل برنامج CVE. ولكن في مخطط الخسائر التي يمكن أن تحدث من هجوم إلكتروني واحد يستغل نقاط الضعف البرمجيات غير المشوهة ، يبدو الخبراء سلكيًا ، تبدو التكاليف التشغيلية ضئيلة مقابل الفائدة للدفاع الأمريكي وحده.
على الرغم من تمويل CISA في اللحظة الأخيرة ، لا يزال مستقبل برنامج CVE غير واضح على المدى الطويل. كمصدر واحد ، الذي طلب عدم الكشف عن هويته لأنهم مقاول فيدرالي ، وضعه: “كل شيء غبي وخطير للغاية”.
