Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation

Mitre, de beheerder achter de veelgebruikte Common Vulnerabilities and Exposures-database, krijgt geen subsidie meer van de Amerikaanse overheid. Daarmee is er een grote kans dat kwetsbaarheden niet goed meer worden bijgehouden door een publieke instantie.

Het bestuur van The Mitre Corporation schrijft in een brief dat het contract tussen Mitre en het Amerikaanse ministerie van Binnenlandse Veiligheid vanaf woensdag stopt. Dat betekent dat de stichting veel minder geld krijgt voor het bijhouden van de database die ze zo'n 25 jaar geleden opzette. Mitre is een non-profitorganisatie die het grootste deel van haar subsidie van de National Cyber Security Division van het Department of Homeland Security ontvangt.

Een van de belangrijkste, of in ieder geval impactvolste taken van Mitre is het beheer van het CVE-programma. CVE, wat staat voor Common Vulnerabilities and Exposures, is een standaard waarmee softwarekwetsbaarheden worden bijgehouden. In die standaard staat bijvoorbeeld beschreven op welke manier kwetsbaarheden op hun manier moeten worden beschreven, welke status die krijgen en op welke datum een bug is ontdekt.

Een andere belangrijke taak van het aanmaken van CVE's is de nummering. Iedere kwetsbaarheid krijgt een CVE-volgnummer waarin ook het jaartal wordt opgenomen. Die volgnummers worden bijgehouden in de CVE-database. Die wordt door vrijwel alle securityprofessionals wereldwijd gevolgd om te bepalen welke kwetsbaarheden er zijn ontdekt en met welke prioriteit die moeten worden gepatcht. Mitre is de organisatie die ook die database beheert. Sommige instanties volgen hun eigen volgnummerconventies, zoals het Nederlandse Nationaal Cyber Security Centrum of het Amerikaanse National Institute of Standards and Technology, maar die zijn doorgaans wel gelinkt aan de CVE-database omdat dat de meestgebruikte is. Jen Easterly, voormalig hoofd van de Amerikaanse Cybersecurity Infrastructure and Security Agency, noemt het CVE-systeem 'een van de belangrijkste pilaren van moderne cybersecurity'.

Nu The Mitre Corporation geen subsidie meer krijgt, is er een risico dat bugs niet meer op de juiste manier worden bijgehouden, waarschuwt de organisatie. "Als onze dienstverlening onderbroken wordt, verwachten we meerdere effecten op het CVE-systeem, waaronder het afzwakken van de nationale kwetsbaarhedendatabase en -adviezen, incident response en allerlei vormen van kritieke infrastructuur", schrijft de stichting.

Naast het CVE-programma beheert Mitre ook het CWE-programma. Dat staat voor het Common Weakness Enumeration-systeem. CWE is een database waarbij kwetsbaarheden zelf worden uitgelegd en bijgehouden; zo is er een CWE voor een specifieke out-of-bounds write-bug of voor bugs waarbij input verkeerd wordt gevalideerd. Zulke gestandaardiseerde beschrijvingen kunnen beveiligingsprofessionals helpen hun kwetsbaarheden te repareren. Ook die CWE-database kan zonder subsidie niet meer worden bijgewerkt.

Het is niet duidelijk waarom het contract met Mitre is gestopt, of in ieder geval niet is verlengd. De Amerikaanse regering probeert op dit moment, onder leiding van Elon Musk, overheidsuitgaven terug te dringen. Daarbij lijken er bij veel verschillende afdelingen contracten plotseling te worden opgezegd, vaak zonder duidelijkheid of uitleg. Jen Easterly zegt op LinkedIn signalen te ontvangen dat het contract alsnog wordt verlengd, maar die zijn vooralsnog onbevestigd.

Reacties (106)

Geekomatic

16 april 2025 10:31

Lijkt me een onbedoeld snijverlies.
Hopelijkkomt iemand daar snel tot bezinning.
(Of neemt iemand het over.)

[Reactie gewijzigd door Geekomatic op 16 april 2025 10:36]

downtime @Geekomatic • 16 april 2025 11:11

Verkijk je niet op ideologie. Er zijn mensen die menen die vrijwel alles wat de overheid doet (of financiert) beter (en goedkoper) kan worden gedaan door bedrijven met een winstmotief. We zien in Nederland ook dagelijks de gevolgen van die ideologie. Weet je nog dat het Ministerie van Volkshuisvesting weg kon omdat "de markt" wel voor genoeg woningen zou zorgen?

drdelta @downtime • 16 april 2025 12:14

Is het in die zin wellicht niet ironisch dat Mitre een contract van ongeveer 29 miljoen dollar per jaar heeft/had voor het onderhouden van een database met kwetsbaarheden, waar niemand mee kon concurreren?

Uiteindelijk zal de sloophamer strategie ongetwijfeld meer kosten dan dat ze nu "besparen", maar dat betekent niet dat ze af en toe niet toevallig iets tegen zullen komen wat daadwerkelijk efficiënter zou kunnen. Waarom is het geen stichting waar grote bedrijven in doneren, bijvoorbeeld? Waarom moet dat per se vanuit de Amerikaanse overheid komen?

jaxxil @drdelta • 16 april 2025 13:09

Dat gaat andersom natuurlijk ook gewoon op. Waarom zouden grote bedrijven dit moeten oppakken, waarom niet de overheid? Zou Google wel hun eigen kritieke vulnerabilities in de database willen? CVEs zijn een publieke dienst waar bijna iedereen op de 1 of andere manier wat aan heeft, en van groot belang voor de beveiliging van je land. Het is niet gek dat een overheidspartij dit doet, en niet gek dat andere landen niet gingen proberen er mee te concurreren, dat zou alleen maar voor meer fragmentatie zorgen.

Maar nu de VS besluit om alles op de kop te zetten is er opeens niks meer.

[Reactie gewijzigd door jaxxil op 16 april 2025 13:10]

drdelta @jaxxil • 16 april 2025 15:13

Het is niet gek dat een overheidspartij dit doet, en niet gek dat andere landen niet gingen proberen er mee te concurreren, dat zou alleen maar voor meer fragmentatie zorgen.

Maar nu de VS besluit om alles op de kop te zetten is er opeens niks meer.

En nu hopen dat ICANN fatsoenlijk blijft functioneren.

Uiteindelijk is het alleen maar goed dat dit weg gaat bij de Amerikaanse overheid, zij heeft zich bewezen om onbetrouwbaar te zijn. De laatste ontwikkelingen zijn een perfect voorbeeld daarvan.

J2S @drdelta • 16 april 2025 13:10

Omdat meer dan alleen grote bedrijven hier wat aan hebben? Die bedrijven betalen al belasting (is tenminste de bedoeling). Dus ze betalen alsnog, samen met iedereen, voor deze dienst. Maar nu zijn het geen directe donaties waarmee ze invloed kunnen krijgen.

SuperDre @downtime • 16 april 2025 14:32

Alleen de overheid doet hier helemaal niets. Het is een externe partij die wat geld krijgt toegestopt om dit bij te houden. Waarom zou dat bekostigd moeten worden met zuur betaalde belastingcenten? Waarom niet gewoon laten bekostigen door degene die de software/OS levert waarvan al die bugs geregistreerd worden, het is immers ook in hun eigen belang om te zorgen dat zoveel mogelijk kwetsbaarheden bekend zijn zodat die opgelost kunnen worden. En waarom zou het registeren van zulke kwetsbaarheden/bugs zoveel geld moeten kosten, dat hoeft echt geen 30+ miljoen per jaar te kosten.

bkor @SuperDre • 16 april 2025 14:38

Waarom zou dat bekostigd moeten worden met zuur betaalde belastingcenten?

Het is te vergelijken met infrastructuur. Goede infrastructuur zorgt voor extra opbrengsten. Je hebt het puur over de kosten, lijkt wel of je niet kijkt naar de baten. De VS is hiermee ooit begonnen en het werd echt een gigantisch success. De waarde lijkt me allang bewezen.

Om dat klakkeloos stop te zetten, tja, komt niet snugger over.

sircampalot @downtime • 16 april 2025 13:54

"Weet je nog dat het Ministerie van Volkshuisvesting weg kon omdat "de markt" wel voor genoeg woningen zou zorgen? "

Dat was niet de reden.
De huizenmarkt was geimplodeerd na de 2008 credietcrisis.
Huizen stonden onder water en werden daarom slecht verkocht (kopers durfde het niet aan).
Hierdoor was het aanbod groter dan de vraag, een overschot dus.

Blokker_1999

Beveiliging en antivirus

@Geekomatic • 16 april 2025 10:47

Onbedoeld? Helemaal niet. Als niemand de wereld kan wijzen op kwetsbaarheden op een eenvormige manier, kan je doen alsnog ze niet bestaan.

TD-er

@Blokker_1999 • 16 april 2025 13:22

Sterker nog, het heeft er alle schijn van dat Trump aanstuurt op totale chaos, zodat hij de noodtoestand kan uitroepen.
Zodra dat gebeurt, heeft 'ie echt alle macht en is het echt extreem moeilijk om 'm weg te krijgen.

Trump en z'n aanhangers hebben toch al lak aan zaken als 'feiten', dus het bestaan van bewijs doet er niet zoveel toe.
Maar als je een service als dit onderuit haalt, is de kans op chaos alleen maar groter en dat lijkt zijn doel te zijn.

Vaevictis_ @Geekomatic • 16 april 2025 13:21

Als er een tool is die zijn nut heeft bewezen op gebied van informatie beveiliging is het CVE register. Ongelofelijk dat je zoiets niet wilt subsidieeren. Daarnaast zullen de kosten peanuts zijn, dus grote strategische impact tegen lage kosten. Wie verzint zoiets?

MatthiasL 16 april 2025 10:23

Precies van die zaken die als de overheid het niet regelt niemand het regelt - geen enkel bedrijf gaat dat vrijwillig oppakken. Thanks, Trump.

Hopelijk kunnen andere overheden gezamenlijk de rekening oppakken.

[Reactie gewijzigd door MatthiasL op 16 april 2025 10:25]

downtime @MatthiasL • 16 april 2025 10:39

Waarom zouden de techreuzen dit niet gewoon overnemen? Die hebben er het meeste profijt van. Met een paar honderd miljoen van Google, Apple, Facebook en Microsoft kom je een heel eind.

kamerplant @downtime • 16 april 2025 10:44

Het is best prettig dat dit volstrekt objectief plaatsvindt, zodat er niet een bug tech bedrijf is is of komt die zijn eigen zwakheden wil verbloemen ofzo.

lariekoek @kamerplant • 16 april 2025 12:31

Stel dat men bugs achterhoudt voor andere belanghebbenden. Denk dan bijvoorbeeld voor handige toepassingen voor een NSA of erger, private partijen met een hobby/bijverdienste als hacker.

Gropah @kamerplant • 16 april 2025 12:44

Of andersom, dat pakketten als compromised worden aangeduid zonder dat ze dat zijn, om zo de concurrentie een slecht imago te geven.

Keypunchie @downtime • 16 april 2025 11:22

Zou zeker kunnen dit voorstel, maar een beetje fatsoenlijk bestuur zorgt dan voor een zachte landing en overdracht. Ga je om tafel met Big Tech, geeft ze een deadline van een jaar en dan mogen ze het regelen.

Het probleem is dat het geld er *nu* niet meer is. Volgens mij wordt vrijwel de hele tech-wereld hier door verrast.

En dat is het probleem met het beleid van de Amerikaanse regering uberhaupt. Totaal onbetrouwbaar en hap-snap. Uiteraard bestaat er zoiets als ondernemersrisico, maar ook ga je van bepaalde aannames uit.

Zo is cyberdreiging een risico. Door gebruik te maken van de CVE-database in het softwaremaakproces (automatisch scannen voor outdated packages met bekende kwetsbaarheden) beheers je dat risico. Soms zul je even een release moeten vertragen of versnellen, omwille van security. Soms moet je als beheerder een noodpatch uitrollen (bijvoorbeeld laatst met https://nvd.nist.gov/vuln/detail/CVE-2025-1974 ). Dat is het risico waar het dan over gaat. Niet een kamikaze-overheid. Daar kun je niet tegen op-managen. Of je moet "full prepper" gaan. Maar dat lijkt me niet bepaald de wenselijke samenleving.

[Reactie gewijzigd door Keypunchie op 16 april 2025 12:23]

aikebah @Keypunchie • 16 april 2025 11:50

Voor outdated packages heb je geen CVE database nodig, die heb je nodig om bij (veel) outdated packages te achterhalen welke packages prioriteit hebben voor een upgrade omdat je niet slechts nieuwe functionaliteit en/of obscure bugfixes mist, maar ook reparaties van beveiligingslekken.

De CVE database (en de daarvan afgeleide verrijkte vulnerability databases) bevat enkel info over welke vulnerabilities er gevonden zijn (en meestal, maar niet altijd, ook gefixt). Dat kan gerust voor een stuk software gaan over 10 versies terug ten opzichte van de huidige bij-de-tijd versie van dezelfde library. Geen hit in de CVE DB en toch outdated.

Dus ja, er is een belangrijke rol voor de CVE database, maar niet voor 'bij de tijd' houden van je software.

Keypunchie @aikebah • 16 april 2025 12:04

Je gebruikt dan ook niet de CVE database direct, maar een verrijkingsdienst die de koppeling voor je maakt.

Maar zonder het fundament worden zij minder nuttig…

aikebah @Keypunchie • 16 april 2025 12:10

Klopt, maar mijn reactie ging vooral over het vinden van 'outdated packages', waar ee CVE db geheel irrelevant voor is. Daarvoor gebruiken diezelfde tools andere databases en APIs om voor iedere bibliotheek de beschikbare versies bij te houden/op te vragen.

Keypunchie @aikebah • 16 april 2025 12:22

Ah ja, sorry: ik zal dat editen naar “packages met bekende kwetsbaarheden”

aikebah @Keypunchie • 16 april 2025 12:39

Outdated packages zijn overigens van zichzelf ook een potentieel risico (staan terecht in de OWASP top 10 samen met de vulnerable packages in 1 categorie), omdat als je maar ver genoeg achterloopt het een probleem wordt als je door een nieuw gevonden oud lek toch ineens moet bijwerken naar een wel onderhouden (en dus gepatchte) nieuwere versie en daarvoor op korte termijn alle breaking wijzigingen van meerdere breaking-change versies moet verwerken in je software om een gepatchte versie voor het lek uit te brengen.

Terecht dus dat ze wel door diezelfde tools gemarkeerd worden.

Blokker_1999

Beveiliging en antivirus

@downtime • 16 april 2025 10:45

Je wil een onafhankelijk, onpartijdige instantie hebben die dit soort zaken beheerd, om zeker te zijn dat de beherende instantie de spelregels niet aanpast in eigen voordeel.

CAPSLOCK2000

Beveiliging en antivirus

@downtime • 16 april 2025 11:02

Waarom zouden de techreuzen dit niet gewoon overnemen? Die hebben er het meeste profijt van. Met een paar honderd miljoen van Google, Apple, Facebook en Microsoft kom je een heel eind.

Omdat die bedrijven er allemaal belang bij hebben om hun eigen bugs buiten zicht te houden. Op hun eigen manier zouden ze allemaal instemmen met steeds minder openbaarheid. Daarnaast zouden ze waarschijnlijk ook nog eens allemaal de geldkraan dichtdraaien als ze denken dat een concurrent meer voordeel heeft dan ze zelf.
Het zal wel een tijdje goed gaan als ze elkaar eerlijk moeten houden. Google heeft er bv een handje van om fouten van hun concurrenten in de schijnwerpers te zetten, maar ik denk dat ze er uiteindeljk voor kiezen om elkaar met rust te laten op gebieden waar ze toch niet concurreren.

Deze bedrijven zouden op lange termijn ook voordeel hebben bij het verbeteren van het Nederlandse electriciteitsnet, betere universiteiten, meer politie of het voorkomen van milieuschade (warm koelwater, stikstof, co2, ...) en dat doen ze ook niet.

boxlessness @downtime • 16 april 2025 11:32

Deze bedrijven hebben incentives om dit juist niet te doen:
1) het buiten beeld houden van eigen vulnerabilities vanwege PR redenen
2) het minder aantrekkelijk maken van open-source en onafhankelijke software omdat het voor gebruikers/MKB/bedrijven dan minder duidelijk wordt wanneer ze updates moeten draaien en aanpassingen moeten doen in hun techstack. Dit maakt dat bedrijven het risico niet meer durven nemen om hun eigen stack te draaien en dus voor de cloud-oplossingen gaan van big-tech.

Dus nee... maak dit soort initiatieven niet afhankelijk van bedrijven die dit kunnen uitbuiten voor meer marktaandeel/macht/geld.

Loller1 @downtime • 16 april 2025 11:42

Ik denk dat Google met zijn Google Zero project al lang heeft aangetoond dat ze helemaal niet te vertrouwen zijn om iedereen objectief over dezelfde kam te scheren, inclusief henzelf.

Hoevaak hebben ze wel al niet hun concurrenten onder de bus gegooid door een beveiligingslek waarvan ze wisten dat een patch eraan kwam of waarvan ze wisten dat er extra moeilijkheden waren om die op te lossen alsnog gewoon op straat te gooien? Altijd maar onder het mom van "dat zet meer druk". Sure, als die bedrijven er niet mee bezig waren, maar in veel gevallen waren ze dat wel. Maar voor hun eigen 0-days? Daar zijn ze consistent nogal erg losjes over...

RogerWilco2 @downtime • 16 april 2025 12:33

Naast de al door anderen genoemde redenen, is het ook lastig om te bepalen wie mee doen.
Dit bestaat 25 jaar, toen zag de tech wereld er erg anders uit.

Mag iedereen meedoen die een zak geld mee brengt?
Maak je een selectie op basis van marktaandeel, waarin dan? Wat als dat verandert?
Gaan bepaalde landen en regios zich ondervertegenwoordigd voelen en hun eigen opzetten?
Hoe ga je met onenigheid om?

Wat nu duidelijk wordt is dat dit bij de overheid van de VS leggen ook niet ideaal is, maar andere oplossingen vergen ook echt keuzes.

Megalodon86 @downtime • 16 april 2025 13:48

Inderdaad. In een normaal werkend land zou je zelfs een belasting kunnen bedenken specifiek voor techbedrijven, om zo de kosten van oa. deze instantie te dekken.

Fermion @downtime • 16 april 2025 14:52

Waarom zouden de techreuzen dit niet gewoon overnemen? Die hebben er het meeste profijt van.

Precies daarom, zij zijn straks vrij van vulnerabilities

Ed Vertijsment @MatthiasL • 16 april 2025 10:29

Dat is nog maar de vraag, genoeg van dit soort organisaties worden volgens mij beheerd door samenwerkingsverbanden van bedrijven als Google, Mozilla, Apple etc.

Niet om de bezuiniging goed te praten maar dat niemand het anders kan regelen vind ik kort door de bocht.

MarcMK2 @Ed Vertijsment • 16 april 2025 11:36

De eu zou het kunnen oppakken. benieuwd hoelang het dan gaat duren voordat de us gaat zeuren dat europa allemaal kwetsbaarheden in hun producten naar buiten brengt

Ed Vertijsment @MarcMK2 • 16 april 2025 11:56

Vind ik een beetje een overdreven reactie, de US zeurt afaik ook niet op de US omdat ze kwetsbaarheden rapporten?

hottestbrain

@Ed Vertijsment • 16 april 2025 12:09

De US heeft er een handje van om dergelijke zaken al snel als aanval op de veiligheid van hun land te zien. Is niets overdreven aan.

Neo_TGP @MatthiasL • 16 april 2025 10:40

Mijn inschatting is dat de britse NCSC of iets in die richting dit wel op gaat pakken. Gezien de huidige situatie en het naar binnen keren van de VS geen slechte gedachte als dit vanuit europa ergens opgepakt wordt.

SunnieNL

@Neo_TGP • 16 april 2025 14:12

Zou vanuit de EU goed zijn als Enisa het gaat oppakken of er vanuit die hoek een subsidie gegeven wordt aan Mitre.
Andere NCSC van buiten de EU zouden dan ook nog wat in de zak kunnen doen.

Eigenlijk is het raar dat wereldwijd gebruik wordt gemaakt van informatie van Mitre maar ze zwaar afhankelijk zijn van alleen de subsidie van de usa.

Stroopwafels @MatthiasL • 16 april 2025 10:59

https://www.thecvefoundation.org/ er is wel wat in de achtergrond in beweging.

haagsepracht @MatthiasL • 16 april 2025 13:43

"In response, a coalition of longtime, active CVE Board members have spent the past year developing a strategy to transition CVE to a dedicated, non-profit foundation. The new CVE Foundation will focus solely on continuing the mission of delivering high-quality vulnerability identification and maintaining the integrity and availability of CVE data for defenders worldwide. "https://www.thecvefoundation.org/

Sir_Eleet @MatthiasL • 16 april 2025 15:16

Het is niet logisch dat de Amerikaanse overheid dit geld alleen zou moeten ophoesten.

Een "WHO" equivalent voor cyber security kan toch best opgericht worden?

SuperDre @MatthiasL • 16 april 2025 14:25

Nouja, in dit geval regelt de overheid het ook niet, ze krijgen alleen wat geld toegestopt. Waarom zou dat niet gewoon betaalt worden door de grote bedrijven zoals Apple, Google, Microsoft en de andere grote bedrijven waarvan de bugs hier geregistreerd worden er fatsoenlijk aan meebetalen..
En dan denk ik sowieso, hoeveel moet deze organisatie nu werkelijk kosten? Het beheren van een database met wat bugs zou toch geen miljoenen per jaar moeten kosten want dan doe je toch iets heel erg fout en zitten de kosten vooral in management die hun zakken vullen.
Ben zelf ook dus van mening dat het stopzetten van de subsidie helemaal niet slecht is, maar misschien was het beter om dit dan aan te passen met een nieuwe wetgeving die bepaald dat obv bepaalde punten (bv omzet, aantal bugs, soort service) bepaalde bedrijven het geld moeten ophoesten om deze club te betalen. Zij maken de software dus laat hun dan ook maar betalen (wat ze uiteindelijk dan toch wel in mindere maten doorbelasten aan hun klanten, maar ok, geen probleem toch, de gebruiker betaalt).

bkor @SuperDre • 16 april 2025 14:40

Waarom zou dat niet gewoon betaalt worden door de grote bedrijven zoals Apple, Google, Microsoft en de andere grote bedrijven

Waarom wordt het klakkeloos gestopt? Je suggestie, leuk, maar er had prima een discussie opgestart kunnen worden. Dat is echter niet wat er gebeurd.

thijssie83 @MatthiasL • 16 april 2025 16:16

Precies van die zaken die als de overheid het niet regelt niemand het regelt - geen enkel bedrijf gaat dat vrijwillig oppakken. Thanks, Trump.

Ik denk dat andere partijen, al dan niet in een consortium van grote tech bedrijven en diverse overheden dit prima kunnen overnemen. Je zou zelfs de vraag kunnen stellen waarom dit wereldwijd de norm is maar door de overheid in de VS betaald werd. Ook daar ligt een vraag omtrent onafhankelijkheid. Zou niet de eerste keer zijn dat een grote overheid, zoals de Verenigde Staten een kwetsbaarheid misbruikt alvorens deze publiek te maken. Ik juich dit alleen maar toe.

meowmofo @MatthiasL • 16 april 2025 17:00

Er lijkt iets van de EU in de maak te zijn.

https://euvd.enisa.europa.eu/

Toet3r 16 april 2025 10:26

Dit bewijst wederom dat Trump geen idee heeft wat hij doet en welke vergaande gevolgen dit heeft

pumpidumpi @Toet3r • 16 april 2025 10:30

Waarom zou de VS dit moeten betalen en de hele wereld kan er gratis gebruik van maken?

kr4t0s @pumpidumpi • 16 april 2025 11:38

Er zijn genoeg security frameworks en CVE trackers ook die door EU betaald worden. Maar Mitre is de de-facto standaard waar veruit de meeste mee werken. Ik vind prima, switchen we wel naar een andere waar Trump met zijn dikke fingers niet aan kan. Zo verliest US weer een belangrijke tool, invloed en aanzien.

aikebah @kr4t0s • 16 april 2025 11:57

Mitre is de centrale beheerder van de reeksen om te voorkomen dat er CVE nummers dubbel uitgereikt worden waardoor twee verschillende problemen onder dezelfde referentie worden gepubliceerd. De CVE nummers zelf toekennen gebeurt aardig decentraal, maar Mitre is de organisatie die voor die nummers de wereldwijde uniciteit waarborgt.

Jacco011

@pumpidumpi • 16 april 2025 10:59

De VS wil graag hebben dat de wereld afhankelijk is van bedrijven vanuit de VS. Met Microsoft, Apple, AWS, HPE, Dell, Cisco, TrueNAS, Veeam, VMware, wapens en nog 100 andere bedrijven, is de VS gewoon marktleider in deze segmenten. Er gaat dus heel veel geld naar de VS.
Ondertussen wil Trump echter wel de lusten maar niet de baten lasten. CVE kost geld = de rest van de wereld mag het uitzoeken.
Hetzelfde als met USAID (denk ik). De VS wil graag overal zeggenschap en heeft basissen voor zijn leger overal gestationeerd, maar waarom zouden deze landen dit nog langer faciliteren, nu de lokale bevolking ook geen ondersteuning meer vanuit de VS krijgt.

[Reactie gewijzigd door Jacco011 op 16 april 2025 13:40]

Faestrop @Jacco011 • 16 april 2025 11:16

Zou je tekst nog een keer kritisch kunnen lezen? Volgens mij maak je mogelijk een terechte opmerking, maar door de tekstuele fouten is dat moeilijk te ontdekken.

Lusten en baten zijn synoniemen.

MarcMK2 @Faestrop • 16 april 2025 11:39

waarschijnlijk moet het lusten niet de lasten zijn

tc982 @pumpidumpi • 16 april 2025 11:13

Wat een retoriek weer? Enorm veel overheden sponseren zaken die anders commercieel niet haalbaar zijn. In de laatste 50 jaar hebben we gefocussed om onderzoek te delen met iedereen.

drdelta @pumpidumpi • 16 april 2025 11:54

Omdat de VS op geen enkel moment de moeite heeft genomen anderen te overtuigen bij te dragen aan dit systeem?

Toet3r @pumpidumpi • 16 april 2025 12:14

Ik zeg niet dat de VS dit zou moeten betalen.
Het zomaar stopzetten van de subsidie van een voor veiligheid van mede de VS zeer belangrijke organisatie is ronduit dom en kortzichtig.

Als de VS de financiering niet meer (alleen) wil betalen dan zouden ze met andere landen kunnen overleggen om te kijken naar alternatieven, in ieder geval het niet het zomaar stopzetten.

familyman @pumpidumpi • 16 april 2025 12:21

We zouden de organisatie kunnen betalen ahdv de proportie herkomst van cve.

Ik durf de stelling wel aan, dat de US een van de grootste veroorzakers is (90+ procent?)

En als het belang zo groot is, zou ik het niet eens gek vinden als de US haar big tech zou belasten met de funding (maar niet de zeggenschap, beetje zoals de AFM hier)

Polderviking

@pumpidumpi • 16 april 2025 12:28

Waarom zou de VS dit moeten betalen en de hele wereld kan er gratis gebruik van maken?

Als dit het probleem is kan de VS ook gewoon andere overheden, of liever het bedrijfsleven, vragen hier aan mee te betalen in plaats van gelijk de bijl er in te zetten.
En met vragen bedoel ik eigenlijk vooral, belastingpotje voor opzetten.

Maar ik geloof er geen drol van dat er iets van betekenisvolle overweging achter deze beslissing zit buiten dat er iemand weer ergens in een excel documentje een besparing zag en die doorzet zonder over consequenties na te denken.
Zo wordt dat land immers bestuurd tegenwoordig, dingen doorvoeren en als er te veel ellende van komt die beslissingen weer proberen terug te draaien.

[Reactie gewijzigd door Polderviking op 16 april 2025 12:39]

dgompie

@pumpidumpi • 16 april 2025 10:35

Omdat de VS de grootste ontwikkelaar en leverancier van OS-en en software/diensten is?

SuperDre @dgompie • 16 april 2025 14:29

Maar waarom zou de belastingbetaler dit dan moeten betalen en niet gewoon de grote bedrijven zelf die de software/OS leveren? Laat hun maar mooi opdraaien voor de kosten van deze registratie, naast dus dat ik me heel erg afvraag waar al dat geld naar toe gaat, laten we eerlijk wezen, in feite is het niets meer dan het bijhouden van wat bugs in een database...

Ypho @pumpidumpi • 16 april 2025 11:13

Hoezo onzin? Het is toch een valide mening dat een grote exporteur van software (inclusief vulnerabilities) iets als dit op zich neemt? Je kan het daar mee eens zijn of niet, maar afdoen als "onzin" is een beetje flauw.

Maar onzin of niet. MITRE doet best veel voor de Amerikaanse defensie, dus logisch dat de VS ze subsidie geeft, plus dat het bedrijf ook grotendeels in de VS zit. Waarom zouden andere landen bedrijven in de VS moeten subsidieren?

Maar zelfs al zouden de VS het niet (volledig) hoeven te betalen kun je in plaats van amputeren met de botte bijl ook een voorstel doen aan Europa, China, NAVO, whatever om deze kosten (deels) te dragen. Hoe het nu gaat ontstaat er mogelijk een gat in digitale veiligheid dat niemand ten goede komt.

Als de kosten gedragen gaan worden door (ook) andere landen, prima, kan ik me best in vinden. Maar zou het ook niet meer dan eerlijk zijn om naar rato een deel van de mensen te ontslaan bij MITRE en aan te nemen in andere landen die meebetalen. Dan zijn we eigenlijk meteen in lijn met wat Trump graag wil. Of eigenlijk niet, want die wil juist alles naar de VS halen. En dan staat mijn punt, waarom zouden wij subsidie geven aan een bedrijf in de VS?

[Reactie gewijzigd door Ypho op 16 april 2025 11:14]

rixster @Ypho • 16 april 2025 11:29

Dit dus.
Bovendien is de kostenvraag niet relevant: wat levert het op, is veel belangrijker.

Cobalt @Ypho • 16 april 2025 12:35

Hoe zo is gratis een issue?

Die database heeft voor de VS heel veel waarde. Als je alle interne kennis hebt achter de publieke CVE's met hoe alle aanvallen precies werken. Dan heb je een hele waarde volle database voor je geheime dienst.

MrRobot

@Toet3r • 16 april 2025 10:33

In dit geval zal het vooral voordelen geven voor state actoren die misbruik maken van kwetsbaarheden. Dus bijvoorbeeld Rusland. Hierdoor ben ik er niet zeker van dat Trump dit onbewust heeft gedaan.

Robbierut4 16 april 2025 10:25

Mooi moment voor europa om dit over te nemen. Zal vast niet al te duur zijn, maar haalt belangrijke infrastructuur naar ons toe.

Krankenstein @Robbierut4 • 16 april 2025 10:35

Het gelinkte contract (https://www.usaspending.g...01_70RSAT20D00000001_7001) noemt een bedrag tot ~58M$ voor twee jaar, ~29M$ voor het afgelopen jaar, dus dat valt inderdaad voor een (grote) overheid wel mee.

Glashelder

@Krankenstein • 16 april 2025 10:41

Ik begrijp ergens echt niet waarom het bijhouden van zo'n relatief simpele database 2,41 miljoen per maand moet kosten...

Op de totale kosten van een overheid valt het wel mee, maar als je als overheid 5000 van dit soort dingetjes hebt dan tikt het ineens aan.

Keypunchie @Glashelder • 16 april 2025 11:42

Uiteraard altijd goed om kritisch te zijn over kosten van iets.

Gelukkig is deze database niet alleen een kostenpost. Het is ook een belangrijke peiler onder een verdienmodel: de industrie die van deze database gebruik maakt, creeert waarde in de miljarden.

En, meest belangrijke, het is ook de peiler onder enorme besparingen in het bedrijfsleven, door alle hacks- en security-incidenten die voorkomen zijn. Dat loopt in de miljarden, zo niet triljoenen aan kostenbesparing dankzij een "simpele" database.

Als alternatief is er geen uitwisseling van data of dat je iedereen zelf het wiel gaat laten uitvinden. Op dit moment is de CVE database, met al zijn beperkingen, een van de fundamenten van internationale cybersecurity.

In die analyse is 2 a 3 miljoen per maand een schijntje voor wat je er voor terugkrijgt.

trab_78

@Keypunchie • 16 april 2025 12:25

Allemaal waar. Maar ik vind het geen gekke vraag. Je zou denken dat je dit voor een fractie van het geld kunt doen.

mocean @Glashelder • 16 april 2025 10:46

Er zullen wel mensen werken die de diverse procedures uitvoeren en contact houden met software bouwers, vendors etc. etc.

Bor Coördinator Frontpage Admins / FP Powermod

Beveiliging en antivirus

@Glashelder • 16 april 2025 10:57

Het is dan ook meer dan alleen een database. Je hebt personeel nodig, procedures, er is mogelijk toezicht, je onderhoudt contacten met 3e partijen, je hebt een veilige infrastructuur nodig dus o.a.monitoring en pentesting etc.

sympa @Bor • 16 april 2025 12:12

Inderdaad toezicht bij klachten, denk aan die "9.8" severity die uiteindelijk amper een vulnerability bleek te zijn. Gaat wel wat hoor en wederhoor in zitten en misschien zelfs een rechtszaak.

CAPSLOCK2000

Beveiliging en antivirus

@Glashelder • 16 april 2025 11:28

Ik begrijp ergens echt niet waarom het bijhouden van zo'n relatief simpele database 2,41 miljoen per maand moet kosten...

Op de totale kosten van een overheid valt het wel mee, maar als je als overheid 5000 van dit soort dingetjes hebt dan tikt het ineens aan.

1. Dat geld is niet alleen voor de CVE database maar ook voor andere taken van Mitre.
2. De database beheren is niet het dure deel, de informatie verzamelen en beoordelen, dat kost veel geld. Voor een deel wordt die informatie gewoon op de markt ingekocht tegen marktprijs.
3. Die €58M is niet hoeveel ze echt krijgen, maar is een bovengrens van wat ze kunnen krijgen als blijkt dat het nodig is omdat ze informatie op de markt moeten inkopen. (Ik ben niet zeker van dit laatste punt)

drdelta @Glashelder • 16 april 2025 12:09

Ik begrijp ergens echt niet waarom het bijhouden van zo'n relatief simpele database 2,41 miljoen per maand moet kosten...

Ongetwijfeld omdat er meer bij komt kijken, maar het klinkt op het eerste gezicht inderdaad als een boel geld. Wellicht omdat er ook geen concurrentie op mogelijk is/was?

Op de totale kosten van een overheid valt het wel mee, maar als je als overheid 5000 van dit soort dingetjes hebt dan tikt het ineens aan.

De VS kan ongeveer 234.483 van dit soort dingetjes doen met hun jaarlijkse budget.
5.000 (ik weet niet waar je dit nummer vandaan haalt) zou ongeveer 2% van het jaarlijkse budget zijn.

vickypollard @Glashelder • 16 april 2025 12:43

Niet al die 5000 dingetjes zullen bijdragen aan de veiligheid van systemen waar miljarden van afhankelijk zijn.

kwetterpletter @Glashelder • 16 april 2025 18:49

Ik kan niet beoordelen wat ze allemaal doen, maar het zal niet alleen overtypen van andermans database zijn.
Wellicht zit er ook een boel tijd in het beoordelen van de zwaarte van een lek. De vinder van het probleem vind het een enorm lek terwijl de maker van de software vind dat het een storm in een glas water is. Ga er maar tussen zitten.

SuperDre @Krankenstein • 16 april 2025 14:27

Vind je dat meevallen? Hoezo moet zo'n club, bijhouden van een database 29M$ per jaar kosten? waar gaat al dat geld dan naartoe?

leendt 16 april 2025 10:50

Private partijen zullen dit subsidieren of overnemen als een overheid het niet doet (hallo EU). De hele beveiligingsindustrie verdient grof geld aan die CVE database alleen al.

Blokker_1999

Beveiliging en antivirus

@leendt • 16 april 2025 10:52

Er zijn reeds Europese instanties die onder andere CVE nummers mogen uitdelen, maar op het einde van de dag kan er maar 1 organisatie zijn die alles samenbrengt en beheerd.

SuperDre @Blokker_1999 • 16 april 2025 14:34

Juist, maar dat hoeft geen 30+ miljoen per jaar te kosten (en dat is blijkbaar dus alleen al het bedrag dat de amerikaanse overheid gaf, daar bovenop komen dus ook nog de andere donaties).

CAPSLOCK2000

Beveiliging en antivirus

@leendt • 16 april 2025 11:12

Private partijen zullen dit subsidieren of overnemen als een overheid het niet doet (hallo EU). De hele beveiligingsindustrie verdient grof geld aan die CVE database alleen al.

Ik hoop dat de overheid het doet, dit soort informatie moet voor iedereen beschikbaar zijn, niet alleen voor mensen met veel geld. De commerciele markt kan dit op zich wel verzorgen (sterker nog, er zijn al verschillende bedrijven die hun eigen database hebben), maar volgens mij is dat geen goede manier om ons geld uit te geven. Hoe meer we uitgeven aan het verzamelen van data hoe minder geld er over is om iets te doen met de resultaten.

Ten tweede is snelheid vaak van enorm belang. Een paar dagen langer wachten kan veel verschil maken.

Ten derde is het handig om een partij te hebben die zorgt voor unieke naamgeving zodat je informatie uit verschillende systemen kan combineren. Je ziet nu vaak dat bugs/malware/... verschillende keren worden ontdekt door onafhankelijke partijen die pas later inzien dat ze allemaal met hetzelfde probleem te maken hebben maar onder een andere naam.

PS. Er is ook nog wel wat zeggen over de nadelen van deze taak te laten uitvoeren door het leger. Het leger zal dit soort informatie ook graag zelf gebruiken en niet delen met 'de vijand'.

[Reactie gewijzigd door CAPSLOCK2000 op 16 april 2025 11:30]

drdelta @CAPSLOCK2000 • 16 april 2025 12:16

Ik zie hier een prima mogelijkheid voor een non-profit die betaald wordt uit contributie/donaties van grote tech bedrijven die dat zou beheren, zoals dat nu ook bij consortiums van standaarden gebeurd (USB, HDMI, Bluetooth, OpenXR, etc).

SuperDre @leendt • 16 april 2025 14:33

Juist, en daarom mag de markt dus gewoon opdraaien voor de kosten van die database.

Keypunchie 16 april 2025 11:09

Dit is een van de problemen van het "wilde snijden" van de Trump-regering. Zo wordt het kind met het badwater weggegooid.

Er zou geen probleem zijn om een functie als deze anders te laten financieren: onderbrengen bij een stichting, die gefinancierd wordt door (Big) Tech, of dit zou zelfs een VN-functie kunnen zijn, om maar wat zijpaden te noemen. Maar dat is een proces, waarbij je een deadline in de toekomst zet en breed aankondigt (en alvast met wat partijen om tafel gaat).

Maar nu komt de continuiteit van een behoorlijk vitaal stukje cybersecurity in de problemen. Er zijn extreem veel bedrijven die op basis van deze database hun patching policies uitvoeren. Vaak zie je ook dat in de softwarebouwstraat geautomatiseerde scanners zitten, die tegen deze database aan checken. Op die manier wordt een hoop ellende voorkomen!

Linksom of rechtsom is dit op dit moment een serieuze dreiging/probleem voor wereldwijde cybersecurity.

[Reactie gewijzigd door Keypunchie op 16 april 2025 11:11]

aikebah @Keypunchie • 16 april 2025 12:07

De meeste doen dat overigens niet direct op basis van de CVE database van Mitre, maar op basis van andere database die voortbouwt op de eerste basisinfo in de database van Mitre.

De beheerders van die databases (bijv NIST/CISA die de ruwe info uit de CVE db verrijkt met extra info in hun National Vulnerability Database) moeten dus op zoek naar een andere manier van binnenkrijgen van alle vulnerabilities die wereldwijd gevonden (en meestal opgelost) worden als Mitre's CVE database weg zou vallen.

SuperDre @Keypunchie • 16 april 2025 14:37

Nou, dus al die gebruikers van die database mogen dan toch mooi op gaan draaien voor de kosten die het onderhouden ervan met zich meebrengen, waarom zou dat middels overheidssubsidie betaalt moeten worden?
Laat bedrijven als Apple, Google, Microsoft en kornuiten maar de kosten van die stichting op zich nemen. En laat ze anders maar gewoon bekostigen middels een abonnement die toegang verleend tot die database. Is hier toch ook als je bv meer hits naar de RDW database wilt, dan moet je ook gaan betalen.

Keypunchie @SuperDre • 16 april 2025 17:21

Zeker, je kunt andere financieringen bedenken (de meeste landen heffen gewoon belasting op bedrijven, met het idee dat als je meer winst hebt je meer voordeel hebt van gedeelde voorzieningen die een maatschappelijk nut dienen, maar goed).

Maar doe dan een transitieplan, kap niet van de ene op andere dag de voorziening af.

Overigens is in Amerika men ook wakker geworden en volgens laatste nieuwtjes het programma met een jaar verlengd.

Geeft de rest van de wereld de tijd om een alternatief te kiezen, want we
kunnen duidelijk niet meer op de VS vertrouwen.

[Reactie gewijzigd door Keypunchie op 16 april 2025 17:22]

NLKornolio 16 april 2025 11:18

Volgens mij moest er toch al een Europees alternatief komen vanuit de NIS2. Goed moment om het bedrijf en talent over te nemen?

Verder begrijpelijk dat je dit niet met overheidsubsidie wilt betalen. Laat alle landen/bedrijven maar meebetalen. Wordt je organisatie alleen maar sterker door.

sympa @NLKornolio • 16 april 2025 12:13

Dat is toch de definitie van "overheid"? Iets waarin alle belanghebbenden van een land of werelddeel samen worden verplicht te werken? In het gemeenschappelijk belang?

watercoolertje @sympa • 16 april 2025 14:32

Precies en de rekening mag dan alsnog bij de bedrijven liggen dmv belasting

Robru1 16 april 2025 11:24

Zie ook: https://www.techzine.nl/n...zwart-financiering-stopt/

Kalief 16 april 2025 11:29

Het is niet duidelijk waarom het contract met Mitre is gestopt, of in ieder geval niet is verlengd.

Om Poetin meer gelegenheid te geven om Amerikaanse systemen te hacken.
De VS is een vazalstaat geworden van Rusland.

Steinvoorte 16 april 2025 11:44

Is dit niet een goed project om vanuit de EU te gaan financieren?
Nog steeds onafhankelijk. De hele wereld heeft er baat bij. En het straalt eenheid en betrouwbaarheid mee uit.

Op dit item kan niet meer gereageerd worden.

Beheer van CVE-bugs komt in gevaar door verlopen contract met Mitre Corporation

Lees meer

Reacties (106)

Sorteer op:

Weergave: