La Junta del Programa Común Vulnerabilidades y Exposiciones (CVE) ha lanzado dos nuevos foros para alentar más contribuciones y dar forma al futuro de la iniciativa. El programa CVE, dirigido por el Mitre sin fines de lucro y patrocinado por la Agencia de Seguridad de Ciberseguridad e Infraestructura de los Estados Unidos (CISA), enfrentó incertidumbre sobre su futuro en abril después de que su contrato expiró. El contrato se extendió posteriormente durante 11 meses, según los informes. Si bien el futuro a largo plazo del programa sigue siendo incierto más allá de este período, la Junta CVE parece estar dispuesta a permitir que más partes interesadas tengan voz y dan forma a la estrategia del programa. El 1 de julio, la junta anunció el lanzamiento de dos nuevos foros, el CVE Consumer Working Group (CWG) y el CVE Investigador Working Group (RWG). Grupo de trabajo del consumidor: para los usuarios de datos de CVE, el CWG tiene como objetivo representar las perspectivas de los consumidores finales de los datos de la lista de CVE, incluidas las empresas, los equipos de seguridad, los analistas de vulnerabilidad, las agencias gubernamentales, los proveedores de servicios de seguridad administrados (MSSP), los investigadores académicos, los proveedores de software y los desarrolladores de herramientas que dependen de los datos de CVE para apoyar la decisión de decisiones, la defensa operativa y la gestión de riesgos. «El CWG identificará las necesidades del consumidor, evaluará la usabilidad de los datos de CVE y recomendará mejoras para garantizar que el programa CVE esté alineado con los casos de uso del mundo real», dijo la Junta de CVE. El CWG está abierto a los miembros de la junta de CVE, las autoridades de numeración de CVE (CNA) (organizaciones examinadas que publican CVE, editores de datos autorizados (ADP), organizaciones autorizadas a enriquecer los datos de CVE, así como a los interesados ​​externos que consumen y trabajan con datos de CVE e individuos «con perspectivas relevantes sobre el consumo de CVE». Jean-Baptiste Maillet, un arquitecto de ciberseguridad especializado en gestión de vulnerabilidad en Ampere Software Technology, dio la bienvenida al lanzamiento en una publicación en LinkedIn. «Los usuarios tardaron más de 25 años en obtener una voz en el programa CVE, pero mejor tarde que nunca», dijo. Grupo de trabajo del investigador: restringido a la investigación y la recompensa de errores CNA El RWG se dedica a establecer normas de trabajo para la comunidad extendida de las autoridades de numeración de CVE de investigadores designados (CNA). «Esto incluye proporcionar orientación y asesoramiento a la comunidad de investigación, así como otras actividades de la comunidad de investigación diseñadas para promover el programa CVE», explicó la Junta CVE. El RWG funcionará bajo una designación TLP: Amber, lo que significa que la información compartida dentro del grupo está restringida a los participantes y sus organizaciones, con una distribución adicional limitada solo permitida solo sobre la necesidad de saber. La participación en el RWG es más limitada que para el CWG, ya que solo la Junta de CVE y los representantes de los CNA actualmente activos designados como CNA de investigación o CNA de recompensa de errores son bienvenidos. Las personas sin lazos con los CNA de investigación o recompensa de errores solo pueden unirse a RWG Meetups cuando se aprueban por el consenso entre los miembros actuales. Tanto el CWG como el RWG ahora están abiertos para que los miembros se unan. Crédito de la imagen: CVE/MITER