En un nuevo documento, la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA) ha confirmado su apoyo al programa de vulnerabilidades y exposiciones comunes (CVE). La agencia también describió algunas de las prioridades futuras para el programa en lo que llama su «era de calidad». CISA Evaluates Potential Mechanisms for Diversified CVE Funding This CISA Strategic Focus document, called “CVE Quality for a Cyber ​​Secure Future,” was published on September 10. This is six months before CISA’s April 2025 decision to reportedly extend MITRE’s contract by 11 months, securing funding for the program through to March 2026. The document calls for the CVE program to remain publicly maintained and vendor-neutral, emphasizing that privatizing it would «Diluir su valor como un bien público». Sin embargo, la agencia reconoció la necesidad de un papel de liderazgo más activo en el programa, así como la inversión adicional. «Muchos en la comunidad han solicitado que CISA considere fuentes de financiación alternativas», agregó la agencia, asegurando que está evaluando «mecanismos potenciales para fondos diversificados». En LinkedIn, Patrick Garrity, un investigador de vulnerabilidad en Vulncheck, señaló la ausencia de cualquier mención de Mitre en el documento. «¿Podría esto señalar una intención de CISA para asumir el papel de la Secretaría en la administración del programa?» preguntó. La necesidad de una participación multisector más amplia El documento de enfoque estratégico de CISA también destacó la necesidad de una participación más amplia y múltiple en el programa CVE en el futuro, así como procesos transparentes y responsabilidad. «La Junta Asesora del Programa CVE debería ser una representación holística del ecosistema», dijo. «CISA tiene la intención de aprovechar sus asociaciones para garantizar una mejor representación de organizaciones y gobiernos internacionales, academia, proveedores de herramientas de vulnerabilidad, consumidores de datos, investigadores de seguridad, la industria de la tecnología operativa (OT) y la comunidad de código abierto», agregó la agencia, citando el programa Vulnrichment como un ejemplo a seguir. Lanzado por CISA en mayo de 2024, el programa Vulnrichment ha sido fundamental para llenar los vacíos dejados por la Base de Datos de Vulnerabilidad Nacional de los Estados Unidos (NVD). El NVD es un programa de divulgación y enriquecimiento de vulnerabilidad aguas abajo que se ejecuta dentro del Instituto Nacional de Normas y Tecnología de los Estados Unidos (NIST). También ha estado experimentando problemas de financiación y personal durante el año pasado y medio. CISA ya ha lanzado algunas iniciativas para ampliar el alcance de los contribuyentes de CVE, que abrió nuevos foros de CVE y grupos de trabajo en julio de 2025, a saber, el CVE Consumer Working Group (CWG) y el Grupo de Trabajo de Investigadores de CVE (RWG). Hablando en nombre de su empresa, Vulncheck, Garrity dijo en LinkedIn: “Hemos seguido comprometidos a ayudar a mejorar el programa CVE a través de una participación mucho más amplia, incluida […] Ayudando a girar al grupo de trabajo de los investigadores de seguridad en colaboración con Tod Beardsley, Cisco Talos, la iniciativa de Trend Micro Day, GitHub y otras autoridades de numeración de CVE de investigación (CNA) «. Los CNA son organizaciones autorizadas con un alcance específico y la responsabilidad de asignar regularmente las ID de CVE y publicar los registros correspondientes de los registros correspondientes de la CVE. Modernización del programa CVE en el futuro, incluso para CNA, CNA del último recurso: organizaciones examinadas responsables de asignar ID de CVE y publicar registros de CVE para vulnerabilidades no cubiertas por el alcance de otro CNA, y los editores de datos autorizados (ADP), las organizaciones otorgaron el derecho a los registros de los registros de las vulnerabilidades existentes con datos. Servicios de CNA, que amplía el soporte de API a los consumidores de datos aguas abajo y mejorando CVE.org mejorando la calidad de los datos de vulnerabilidad mediante la implementación de nuevos estándares mínimos para la calidad del registro de CVE y el desarrollo de mecanismos federados a la enriquecimiento de escala (por ejemplo, vulnrichment, la capacidad del editor de datos autorizada) mejorando la transparencia de la transparencia, la respuesta de los datos de los datos de los datos de la comunidad. Comunicando regularmente los hitos del programa y las métricas de desempeño que participan activamente en el diálogo con los socios globales que hablan de InfoSecurity, la Garrity de Vulncheck dio la bienvenida al documento. Hay muchas oportunidades de mejora que se han descuidado en gran medida «, dijo. Desde la» era del crecimiento «hasta la» era de la calidad «, el documento también institucionaliza la división entre la» era del crecimiento «pasada del programa CVE y la próxima» era de la calidad «. Según CISA, la era de crecimiento de la CVE se «caracteriza por el reclutamiento exitoso de una extensa red mundial de más de 460 autoridades de numeración de CVE (CNA), [contributing] al crecimiento exponencial en la capacidad de la comunidad de ciberseguridad para identificar, definir y catalogar cientos de miles de vulnerabilidades «. Sin embargo, el programa ahora necesita evolucionar para «satisfacer las necesidades de esta comunidad global de ciberseguridad». Por lo tanto, debe hacer una transición a nuevos enfoques, mejorando específicamente la calidad de la confianza, la capacidad de respuesta y la vulnerabilidad. Como estábamos dedicando principalmente nuestros esfuerzos a aumentar el número de CNA y el número de revelaciones de vulnerabilidad; Ahora, creo que estamos en una era de calidad. Estamos enfocando nuestros esfuerzos en requerir mejores datos para que todo el ecosistema mejore «, dijo. Invitada para hablar en Black Hat USA en agosto de 2025, Christopher Butera, el director ejecutivo activo de CISA, utiliza términos similares para enfatizar la necesidad de una mayor automatización en la divulgación de vulnerabilidad.» Tenemos que tener una automatización integrada en el ecosistema de ecosistema para remediar a Faster. Y hemos seguido construyendo eso. Ahora nos estamos moviendo de la era del crecimiento a la era de la calidad ”, dijo a la audiencia de Black Hat.