Il Finanziamento del Governo degli Stati Uniti per il Programma di Cybersecurity CVE in Scadenza

Il programma Common Vulnerabilities and Exposures (CVE) affronta un futuro incerto, poiché il governo degli Stati Uniti non ha rinnovato il suo contratto per sostenere l’iniziativa attraverso l’organizzazione senza scopo di lucro MITRE, e scade oggi, 16 aprile. Gli esperti di cybersecurity stanno ora avvertendo delle possibili conseguenze sulla sicurezza globale.

Il programma CVE, lanciato nel 1999, è stato progettato per sviluppare un sistema di ID e aiutare gli ingegneri e le organizzazioni a identificare, applicare patch e mitigare le vulnerabilità a livello mondiale. Considerando un codice che inizia con le lettere “CVE” seguito dall’anno e da un numero unico, come ad esempio CVE-2024-50050 trovato nel Framework AI di Meta o la vulnerabilità zero-day di Chrome CVE-2025-2783 individuata poche settimane fa, il programma organizza e mantiene il controllo delle vulnerabilità globali.

La MITRE Corporation ha gestito e mantenuto il sistema CVE sin dalla sua fondazione, ricevendo costantemente supporto finanziario dal Department of Homeland Security (DHS) e dalla Cybersecurity and Infrastructure Security Agency (CISA) negli ultimi 25 anni.

Una lettera interna inviata da Yosry Barsoum, vicepresidente e direttore del Center for Securing the Homeland (CHS) presso MITRE, ai membri del consiglio del CVE, è stata divulgata e condivisa pubblicamente su Bluesky.

“Vogliamo farvi prendere consapevolezza di un importante potenziale problema con il supporto continuo di MITRE a CVE”, afferma il documento. “Mercoledì 16 aprile 2025, l’attuale percorso contrattuale per MITRE per sviluppare, gestire e modernizzare CVE e diversi altri programmi correlati, come CWE, scadrà.”

The Verge ha confermato le informazioni divulgate sulla piattaforma di social media e ha contattato Barsoum che ha assicurato che il governo sta facendo sforzi per continuare a sostenere MITRE e che, nel frattempo, anche il programma Common Weakness Enumeration (CWE) – che si concentra sulle vulnerabilità software e hardware – sarà influenzato.

Il ricercatore di cybersecurity Lukasz Olejnik ha condiviso le sue preoccupazioni su X. “L’amministrazione Trump renderà effettivamente (almeno temporaneamente) il sistema globale di cybersecurity inabile,” ha scritto in un post. “La conseguenza sarà un crollo nella coordinazione tra fornitori, analisti e sistemi di difesa – nessuno sarà certo di riferirsi alla stessa vulnerabilità. Caos totale, e un improvviso indebolimento della cybersecurity a tutto campo.”

Tagliando quello che equivale a costi irrisori, l’amministrazione Trump paralizzerà efficacemente (almeno temporaneamente) il sistema globale di cybersecurity – CVE. Cos’è il CVE? È un sistema globale per identificare e tracciare vulnerabilità che ha servito come linguaggio comune per… pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 15 aprile 2025

Altri esperti e organizzazioni, tra cui MITRE, si aspettano di trovare altre fonti di finanziamento e alternative per il programma CVE per continuare regolarmente il suo servizio e le sue operazioni.