Aggiornamento del 17/04/2025

Le autorità statunitensi hanno deciso di prorogare per altri 11 mesi il finanziamento del Common Vulnerabilities and Exposures (CVE). Il dietrofront dell’amministrazione americana rispetto a quanto abbiamo riportato ieri è arrivato all’ultimo momento e si inserisce nel clima di incertezza che da tempo caratterizza il bilancio federale, segnato da tagli drastici decisi sotto la presidenza di Donald Trump.

Yosry Barsoum, vicepresidente e direttore del Center for Securing the Homeland presso MITRE, ha confermato che è stata evitata l’interruzione dei servizi sia per il programma CVE che per il Common Weakness Enumeration (CWE). La decisione in extremis è stata accolta con sollievo dagli esperti del settore, anche se l’incertezza generata dalla situazione ha già spinto alcuni membri della comunità a cercare soluzioni alternative. Proprio ieri, un gruppo che si presenta come CVE Foundation ha lanciato un sito web con l’obiettivo dichiarato di garantire la sostenibilità, la stabilità e l’indipendenza a lungo termine del sistema CVE. Al momento, però, l’organizzazione non ha rilasciato commenti ufficiali.

Notizia originale

Il programma Common Vulnerabilities and Exposures (CVE), che da 25 anni rappresenta un pilastro fondamentale della sicurezza informatica globale, rischia di subire un duro colpo a causa della fine dei finanziamenti governativi da parte dell’amministrazione Trump. Oggi infatti scade il contratto che lega MITRE (l’organizzazione no-profit incaricata di gestire il CVE) al Dipartimento per la Sicurezza Interna (DHS) degli Stati Uniti, che non ha ancora confermato alcun rinnovo contrattuale.

Il programma CVE svolge un ruolo essenziale nella gestione delle vulnerabilità, assegnando a ogni falla di sicurezza un identificativo univoco e permettendo a sviluppatori, ricercatori e aziende di tutto il mondo di parlare la stessa lingua quando si tratta di riconoscere, documentare e correggere falle e vulnerabilità. Grazie a questa standardizzazione, chiunque può fare riferimento agli stessi codici per verificare, segnalare e risolvere problemi di sicurezza, evitando confusione o duplicazioni di sforzi.

La fine dei finanziamenti da parte del governo statunitense solleva inevitabilmente forti preoccupazioni in tutto il settore. Se il supporto economico non verrà sostituito da altre fonti, il programma potrebbe rallentare o addirittura interrompere la pubblicazione di nuove vulnerabilità e la piattaforma online di riferimento potrebbe cessare di funzionare, con ripercussioni serie non solo per l’industria tecnologica, ma anche per la sicurezza delle infrastrutture critiche e la stabilità della cybersicurezza globale.

MITRE ha confermato la situazione tramite un comunicato diffuso dal vice presidente Yosry Barsoum, che ha ribadito come il contratto con il Dipartimento per la Sicurezza Interna non sia stato rinnovato. Pur sottolineando l’impegno costante dell’organizzazione nei confronti del programma, Barsoum ha ammesso che senza il supporto governativo lo scenario diventa incerto, con potenziali ripercussioni anche su iniziative parallele come il Common Weakness Enumeration Program dedicato alla catalogazione delle tipologie di bug.

CVE MITRE

Crediti: Shutterstock

A tentare di tamponare l’emergenza, almeno temporaneamente, ci ha pensato VulnCheck, azienda privata specializzata in intelligence sulle vulnerabilità e accreditata come CVE Naming Authority (CNA). VulnCheck ha infatti annunciato di aver riservato anticipatamente 1.000 identificativi CVE per il 2025, una misura precauzionale che, come ha spiegato il ricercatore Patrick Garrity, permetterà di garantire la pubblicazione di nuovi codici per un periodo massimo di uno o due mesi, a patto che la piattaforma centrale resti comunque operativa.

Tuttavia, questa soluzione tampone non può essere considerata una risposta strutturale. Come sottolineano diversi esperti, il programma CVE non è solo uno strumento tecnico, ma una vera e propria colonna portante dell’ecosistema di sicurezza globale. La sua interruzione potrebbe bloccare aggiornamenti automatici, report di vulnerabilità, attività di risposta agli incidenti e la conformità alle normative di settore, generando conseguenze a catena per aziende di ogni dimensione e per l’intera economia digitale.

Secondo molti osservatori, se il governo statunitense non tornerà sui suoi passi, sarà necessaria una risposta collettiva da parte dell’industria della sicurezza, forse sotto forma di un consorzio internazionale o di un nuovo modello di finanziamento pubblico-privato, capace di garantire la sopravvivenza di un programma tanto cruciale.

Nel frattempo, MITRE ha confermato che l’archivio storico delle vulnerabilità rimarrà comunque accessibile tramite GitHub, assicurando almeno la conservazione dei dati già catalogati. Fatto sta che il futuro della sicurezza informatica globale, senza un meccanismo condiviso per la gestione delle vulnerabilità come il CVE, appare oggi più incerto che mai.