Programma CVE: da oggi 16 aprile a rischio la gestione globale delle vulnerabilità informatiche (aggiornato)

Il programma CVE, pilastro della gestione globale delle vulnerabilità informatiche, rischia la chiusura a causa dello stop dei finanziamenti. Senza l'identificativo CVE univoco, la comunicazione e la gestione delle vulnerabilità diventerebbero frammentate, compromettendo la sicurezza delle infrastrutture digitali.
Michele Nasi
Pubblicato il 16 apr 2025
Programma CVE: da oggi 16 aprile a rischio la gestione globale delle vulnerabilità informatiche (aggiornato)

Il Common Vulnerabilities and Exposures (CVE) Program, da oltre 25 anni fondamento dell’ecosistema globale della sicurezza informatica, si trova oggi in una posizione di estrema incertezza. Il Dipartimento della Sicurezza Interna degli Stati Uniti (DHS) ha infatti annunciato la cessazione di ogni finanziamento al programma CVE a partire dal 16 aprile 2025. Così, il futuro della gestione standardizzata delle vulnerabilità informatiche appare compromesso.

Il CVE Program: cos’è e come funziona

Lanciato nel 1999 e gestito dall’organizzazione senza scopo di lucro MITRE Corporation, il CVE Program ha permesso negli anni la classificazione univoca e pubblica di oltre 275.000 vulnerabilità note, offrendo un modello di riferimento condiviso da vendor, ricercatori, enti governativi e infrastrutture critiche. L’attribuzione di un identificativo CVE univoco consente infatti la comunicazione coerente e la correlazione incrociata delle vulnerabilità tra prodotti, report, bollettini di sicurezza e strumenti di difesa.

Avrete infatti certamente notato che quando si parla di lacune di sicurezza e di patch correttive, si fa continuamente riferimento a identificativi che iniziano con la sigla CVE. Ecco, quell’indicazione CVE fa proprio riferimento al database delle vulnerabilità gestito da MITRE.

Un sistema centrale per l’ecosistema di sicurezza

L’importanza del programma non risiede unicamente nel suo database centralizzato, ma nella sua funzione sistemica: CVE è integrato in molteplici standard e strumenti (NVD, CWE, CVSS, SIEM, scanner di vulnerabilità, IDS/IPS) e ne rappresenta il punto di riferimento. Senza di esso, il rischio è quello di scivolare in una configurazione frammentata per ciò che riguarda il processo di gestione delle vulnerabilità, con implicazioni su:

  • Tempestività delle patch
  • Correlazione degli exploit
  • Comunicazione tra fornitori e utenti

Il nodo del finanziamento: MITRE, DHS e i tagli a CISA

In una comunicazione interna trapelata alla vigilia della scadenza del contratto, MITRE ha confermato che, salvo nuovi accordi, il programma CVE (e altri correlati) non potrà proseguire oltre il 16 aprile 2025. Il direttore del MITRE Center for Homeland Security, Yosry Barsoum, ha dichiarato che l’organizzazione dipende interamente da fondi federali per mantenere attivi questi programmi.

Alla base della crisi vi sono le recenti ristrutturazioni contrattuali e tagli di bilancio della Cybersecurity and Infrastructure Security Agency (CISA), l’agenzia federale incaricata della difesa delle infrastrutture critiche. Secondo fonti ben informate, molti contratti precedentemente in essere non sono stati rinnovati, colpendo direttamente anche MITRE e il CVE Program.

Giravolta all’ultimo minuto: il contratto con MITRE proseguirà

Stando a fonti CISA, con un'”inversione a U” dell’ultimo minuto, l’ente statunitense ha ricevuto il via libera per proseguire il contratto con MITRE e, di fatto, evitare l’accantonamento del programma CVE. Un portavoce dell’agenzia USA ha così dichiarato:

Il programma CVE ha un valore inestimabile per la comunità informatica ed è una priorità per CISA.

Così, MITRE ha ottenuto una proroga “per il rotto della cuffia”, scongiurando tutti i problemi che si sarebbero potuti manifestare con un improvviso accantonamento del database CVE.

CVE Foundation pronta a raccogliere l’eredità di MITRE

Poco prima della notizia della proroga era arrivata la conferma della nascita di CVE Foundation: nuova organizzazione no-profit che spiega di voler assumere le redini di uno degli strumenti più critici per la gestione delle vulnerabilità a livello mondiale, il database CVE appunto.

I promotori di CVE Foundation, che sono sostanzialmente i membri storici della CVE Board, hanno manifestato le loro crescenti preoccupazioni circa la dipendenza da un unico sponsor statale in un contesto che richiede trasparenza, neutralità e rappresentanza internazionale.

L’urgenza di affrontare questi limiti si è materializzata il 15 aprile 2025, quando MITRE ha comunicato ufficialmente alla CVE Board che il contratto federale per la gestione del programma non sarebbe stato rinnovato. Sebbene temuto da tempo, questo annuncio ha accelerato un processo di riorganizzazione già in fase avanzata: la creazione di una fondazione indipendente, guidata da esponenti storici e attivi della comunità CVE.

Secondo i promotori di CVE Foundation, il passaggio a una fondazione indipendente rappresenta una risposta concreta a un rischio sistemico nella gestione delle vulnerabilità. In un’epoca in cui le minacce informatiche si evolvono rapidamente e colpiscono su scala globale, l’affidabilità di strumenti come CVE non può dipendere da un unico attore istituzionale o geografico.

Adesso bisognerà capire se, a fronte del rinnovo del contratto con MITRE, CVE Foundation continuerà comunque sulla sua strada.

CVE: un sistema imperfetto diventato una colonna portante

La gestione delle vulnerabilità e la pubblicazione dei bollettini nel database CVE non è esente da lacune. L’autore di curl, Daniel Stenberg, sulla scia di altre contestazioni, aveva a suo tempo aspramente criticato la classificazione di una vulnerabilità inesistente nel suo software.

Eppure, al netto delle imperfezioni, CVE resta una colonna portante per la sicurezza informatica a livello globale. La chiusura del programma può portare a situazioni difficili da gestire.

La potenziale interruzione del CVE Program lascia aperti diversi scenari: senza un’autorità centrale di assegnazione degli ID CVE, i fornitori e i ricercatori potrebbero creare sistemi paralleli e non interoperabili. Potrebbero quindi proliferare database alternativi sotto l’egida dei privati, basati su modelli non completamente trasparenti.

L’Unione Europea o altri blocchi geopolitici potrebbero sviluppare framework alternativi, frammentando ulteriormente l’ecosistema.

In ogni caso, in assenza di un sistema unificato, la scoperta e la condivisione tempestiva delle vulnerabilità potrebbe rallentare sensibilmente, con impatti diretti su tempi di risposta, gestione delle patch e rilevamento delle minacce.

Ti consigliamo anche

iPhone bloccato con una sola riga di codice: vulnerabilità adesso risolta
Mobile

iPhone bloccato con una sola riga di codice: vulnerabilità adesso risolta
Linux ha un punto cieco e si chiama io_uring: il problema però è nei software di sicurezza
Business

Linux ha un punto cieco e si chiama io_uring: il problema però è nei software di sicurezza
Brutta falla AMI: server a rischio attacco. ASUS rilascia le patch
Business

Brutta falla AMI: server a rischio attacco. ASUS rilascia le patch
Applicazione presente sull'App Store dal 2021 si rivela uno spyware
Vulnerabilità

Applicazione presente sull'App Store dal 2021 si rivela uno spyware
Link copiato negli appunti