GCVE vs CVE: l’Europa ha creato un'alternativa globale per la gestione delle vulnerabilità

Il programma CVE (Common Vulnerabilities and Exposures) è uno dei pilastri della sicurezza informatica globale, fornendo un sistema standardizzato per identificare, nominare e condividere informazioni sulle vulnerabilità software a livello mondiale.  Gli identificatori CVE servono a facilitare la comunicazione tra strumenti e team di sicurezza, aiutando a comprendere rapidamente la natura e l’impatto delle vulnerabilità note. Tuttavia, la classificazione e la gestione delle vulnerabilità non sono sempre prive di criticità.

All’inizio del 2025, il programma CVE ha rischiato di essere interrotto a causa della cessazione dei finanziamenti da parte del Dipartimento della Sicurezza Interna USA, mettendo in luce la fragilità di un’infrastruttura così centrale dipendente da un’unica amministrazione.

In questo quadro di incertezza, sebbene il governo statunitense abbia deciso di proseguire il contratto con MITRE, organizzazione senza scopo di lucro che gestisce il programma CVE, l’Unione Europea ha deciso di lanciare il Global CVE Allocation System (GCVE): non un semplice database parallelo, ma un’iniziativa pensata per rafforzare la gestione europea delle vulnerabilità.

Come funziona la nuova piattaforma europea GCVE per la gestione delle vulnerabilità

GCVE rappresenta un modello decentralizzato per l’identificazione e la classificazione delle vulnerabilità.

A differenza dell’architettura centralizzata tradizionale CVE, in cui gli identificatori sono assegnati all’interno di un processo unico coordinato da MITRE, la soluzione europea introduce le GCVE Numbering Authorities (GNAs), entità indipendenti che possono assegnare vulnerabilità in autonomia, senza dover attendere un’autorizzazione centrale.

La struttura, oltre a migliorare la scalabilità e la rapidità di pubblicazione delle informazioni critiche, aiuta a distribuire il carico operativo tra più attori, riducendo così il rischio di ritardi o blocchi nella classificazione delle nuove minacce informatiche.

Una delle discussioni più accese intorno ai sistemi di catalogazione delle vulnerabilità riguarda infatti la tempistica di pubblicazione e la capacità di mantenere un ritmo coerente con la velocità di scoperta dei bug software.

Con il GCVE, il coinvolgimento di più fonti – oltre 25 pubbliche – permette di aggregare, correlare e normalizzare informazioni da molteplici database e pubblicazioni, migliorando l’accuratezza e la visibilità complessiva del panorama delle vulnerabilità.

Compatibilità e interoperabilità: il vero banco di prova

Pur proponendo un approccio nuovo, il GCVE non vuole isolarsi dalla soluzione preesistente. Un obiettivo dichiarato è mantenere la compatibilità con il sistema CVE tradizionale, adottando linguaggi e criteri di classificazione simili per evitare confusione tra organizzazioni e strumenti che già si affidano a standard consolidati.

L’interoperabilità è fondamentale: senza un allineamento su terminologia, metriche di gravità e strutture descrittive, l’introduzione di sistemi alternativi rischia di frammentare ulteriormente l’informazione sulla sicurezza, anziché migliorarla.

Conservazione e rappresentazione dei CVE esistenti

Il primo elemento chiave dell’interoperabilità è che tutte le voci del sistema CVE tradizionale possono essere incorporate e rappresentate all’interno del sistema GCVE. A tal fine, GCVE riserva uno specifico GNA ID (identificatore di numerazione) — nello specifico il GNA ID “0” — dedicato a “mappare” gli identificatori CVE esistenti.

In pratica un CVE come CVE-2025-xxxxx può essere rappresentato come GCVE-0-2023-xxxxx, mantenendo così lo stesso identificatore numerico unico globale ma all’interno dello spazio GCVE.

La struttura consente agli strumenti e ai database compatibili con GCVE di trattare i CVE tradizionali senza che siano necessarie traduzioni manuali od operazioni complicate, preservando allo stesso tempo il valore semantico dei codici già in uso a livello globale.

Nell’immagine in apertura, il rack che attualmente gestisce il nuovo GCVE europeo.