รัฐบาลสหรัฐฯกำลังดำเนินการแก้ไขโครงการ CVE : Common Vulnerabilities and Exposures ที่มีปัญหาในช่วงหลายปีที่ผ่านมา
CVE ก่อตั้งมาเพื่อเป็นมาตรฐานกำหนดชื่อช่องโหว่ด้านความปลอดภัยซึ่งได้ยอมรับจากภาครัฐและเอกชน ก่อตั้งโดย MITRE โดยใช้เงินสนับสนุนจากรัฐบาลสหรัฐฯ ซอฟต์แวร์รักษาความปลอดภัยที่ทันสมัยที่สุดทั่วโลกต่างใช้หมายเลข CVE เพื่อระบุและติดตามการโจมตีด้านไซเบอร์ โดยเจาะจงเฉพาะข้อบกพร่องของซอฟต์แวร์
ตั้งแต่ช่วงปลายปี 2015 ระบบ CVE เกิดปัญหาหลายอย่าง เช่น ออกเลข CVE ล่าช้า ซึ่ง MITRE กล่าวว่าสาเหตุความล่าช้าเกิดจากการเพิ่มจำนวนอย่างรวดเร็วของผู้ผลิตซอฟต์แวร์และการเพิ่มของ IOT โดยรายงานเมื่อปลายปี 2016 พบว่าองค์กรล้มเหลวในการออกเลข CVE ให้กับช่องโหว่กว่า 6,000 รายการที่ถูกค้นพบในปี 2015
ในช่วงปลายเดือนมีนาคมปี 2017 คณะกรรมการจากรัฐบาลสหรัฐฯได้เริ่มทำการตรวจสอบระบบ CVE ซึ่งเมื่อวันจันทร์ที่ผ่านมาคณะกรรมการได้สรุปผลการตรวจสอบและแนวทางปฏิบัติที่เสนอเพื่อแก้ไขปัญหาที่พบในระบบ CVE โดยพบปัญหาใหญ่สองข้อคือ 1. เงินทุนที่ได้รับลดลง และ 2. ขาดการกำกับดูแลโครงการ CVE
1. ปัญหาเงินทุนลดลง
คณะกรรมการพบว่าเงินทุนสนับสนุนโครงการ CVE ต่อปีลดลงกว่า 37 เปอร์เซ็นในช่วงปี 2012 ถึง 2015 จึงเสนอให้แก้ด้วยการจัดหาเงินทุนสนับสนุนอย่างต่อเนื่อง เพื่อลดความผันผวนของงบประมาณ น่าจะทำให้ MITER มุ่งเน้นที่จะใช้ฐานข้อมูล CVE แทนการกังวลเกี่ยวกับเงินทุนในอนาคต
2.ปัญหาขาดการกำกับดูแลโครงการ CVE
คณะกรรมการพบว่าแนวทางที่ปฏิบัติในอดีตสำหรับการจัดการโครงการ CVE ยังไม่เพียงพอ จึงเสนอให้ MITER ดำเนินการตรวจสอบเสถียรภาพและประสิทธิภาพของโครงการ CVE ในทุกๆ ปี เพื่อให้พบปัญหาก่อนที่มีปัญหาจะร้ายแรงและกระทบกับภาคอุตสาหกรรมด้านความปลอดภัยไซเบอร์
ที่มา: BLEEPINGCOMPUTER