في التدافع في الساعة الحادية عشرة قبل انتهاء عقد رئيسي في ليلة الثلاثاء ، جددت وكالة الأمن السيبراني والبنية التحتية للولايات المتحدة تمويلها لمشروع تتبع البرمجيات منذ فترة طويلة المعروف باسم برنامج المواثيق والتعرضات المشتركة. تديرها برنامج CVE ، الذي تديره مجموعة الأبحاث والتنمية غير الربحية ، وهو عبارة عن مجموعة من الأمن السيبراني العالمي-مما يوفر البيانات والخدمات الهامة للدفاع الرقمي والبحث.
يخضع برنامج CVE لمجلس يضع أجندة وأولويات ميتري لتنفيذها باستخدام تمويل CISA. وقال متحدث باسم CISA يوم الأربعاء إن العقد مع ميتري يمتد لمدة 11 شهرًا. وقالوا في بيان “برنامج CVE لا يقدر بثمن بالنسبة للمجتمع السيبراني وأولوية CISA”. “في الليلة الماضية ، نفذت CISA فترة الخيار على العقد لضمان عدم وجود انقضاء في خدمات CVE الحرجة. نحن نقدر صبر شركائنا وصبر أصحاب المصلحة.”
قال نائب رئيس Miter ومدير مركز تأمين الوطن ، Yosry Barsoum ، في بيان يوم الأربعاء إن “CISA حددت تمويلًا تدريجيًا للحفاظ على البرامج”. مع انخفاض الساعة قبل صدر هذا القرار ، أعلن بعض أعضاء مجلس إدارة برنامج CVE عن خطة لنقل المشروع إلى كيان جديد غير ربحي يسمى مؤسسة CVE.
“منذ إنشائها ، عمل برنامج CVE كمبادرة تمولها الحكومة الأمريكية ، مع الإشراف والإدارة المقدمة بموجب العقد. في حين أن هذا الهيكل قد دعم نمو البرنامج ، فقد أثار أيضًا مخاوف طويلة الأمد بين أعضاء مجلس إدارة CVE حول الاستدامة والحياد لمورد تعتمد على مستوى العالم الذي تم ربطه برعاية حكومية واحدة” ، كتبت المؤسسة في بيان. “لقد أصبح هذا القلق عاجلاً بعد 15 أبريل 2025 ، خطابًا من Miter لإخطار مجلس CVE بأن حكومة الولايات المتحدة لا تنوي تجديد عقدها لإدارة البرنامج. بينما كنا نأمل أن يأتي هذا اليوم ، فإننا نستعد لهذا الاحتمال.”
من غير الواضح من هو من لوحة CVE الحالية تابعة للمبادرة الجديدة بخلاف Kent Landfield ، وهو عضو في صناعة الأمن السيبراني منذ فترة طويلة تم نقله في بيان مؤسسة CVE. لم ترد مؤسسة CVE على الفور طلبًا للتعليق.
لم ترد CISA على أسئلة من Wired حول سبب قيام مصير عقد برنامج CVE المعني وما إذا كان مرتبطًا بتخفيضات الميزانية الأخيرة التي تجتاح الحكومة الفيدرالية كما فرضت عليها إدارة ترامب.
شعر الباحثون ومهنيو الأمن السيبراني بالارتياح يوم الأربعاء بأن برنامج CVE لم يتوقف فجأة عن الوجود نتيجة لعدم الاستقرار غير المسبوق في التمويل الفيدرالي الأمريكي. وأعرب العديد من المراقبين عن تفاؤل حذر من أن الحادث يمكن أن يجعل برنامج CVE في النهاية أكثر مرونة إذا كان ينتقل ليكون كيانًا مستقلًا لا يعتمد على التمويل من أي حكومة أو مصدر واحد آخر.
يقول باتريك جاريتي ، باحث أمني في Vulncheck: “برنامج CVE أمر بالغ الأهمية ، ومن مصلحة الجميع أن ينجح”. “تعتمد كل مؤسسة تقريبًا وكل أداة أمنية على هذه المعلومات ، وهي ليست فقط الولايات المتحدة. إنها تستهلك على مستوى العالم. لذلك من المهم حقًا أن تكون خدمة مقدمة من المجتمع ، ونحن بحاجة إلى معرفة ما يجب القيام به حيال ذلك ، لأن خسارة ذلك سيكون خطرًا على الجميع”.
تشير سجلات المشتريات الفيدرالية إلى أنه يكلف عشرات الملايين من الدولارات لكل عقد لتشغيل برنامج CVE. ولكن في مخطط الخسائر التي يمكن أن تحدث من هجوم إلكتروني واحد يستغل نقاط الضعف البرمجيات غير المشوهة ، يبدو الخبراء سلكيًا ، تبدو التكاليف التشغيلية ضئيلة مقابل الفائدة للدفاع الأمريكي وحده.
على الرغم من تمويل CISA في اللحظة الأخيرة ، لا يزال مستقبل برنامج CVE غير واضح على المدى الطويل. كمصدر واحد ، الذي طلب عدم الكشف عن هويته لأنهم مقاول فيدرالي ، وضعه: “كل شيء غبي وخطير للغاية”.
