El programa de vulnerabilidades y exposiciones comunes (CVE) ha servido durante mucho tiempo como base para la divulgación y gestión de vulnerabilidad estandarizada, permitiendo estrategias efectivas de comunicación y remediación en toda la industria.
A medida que la comunidad de ciberseguridad lanza un lapso potencial en la administración del programa CVE, las organizaciones de todo el mundo podrían enfrentar desafíos para mantener una identificación y seguimiento de vulnerabilidad consistentes, especialmente en el software program de código abierto.
El compromiso de Cisco con la divulgación de vulnerabilidad transparente
Cisco está comprometido con las prácticas de divulgación de transparencia y vulnerabilidad que no dependen únicamente del programa CVE. Cisco Equipo de respuesta a incidentes de seguridad de productos (PSIRT) fue creado mucho antes de que se estableciera CVE y es una de las autoridades originales de numeración de CVE (CNA).
El ecosistema de gestión de vulnerabilidad y divulgación de Cisco aprovecha una amplia gama de alimentos de inteligencia de amenazas, incluidas bases de datos de explotación, análisis de malware y datos de telemetría, para evaluar las vulnerabilidades más allá de los identificadores de CVE tradicionales.
Garantizar la estabilidad en el futuro de la divulgación e identificación de vulnerabilidad
El ecosistema de ciberseguridad depende de un marco estable, transparente y abierto para la identificación de vulnerabilidad. Esta continua estabilidad no es solo una cuestión de proceso; Es basic para la colaboración world, la confianza y la coordinación de la respuesta.
Cisco reconoce el papel crítico que desempeña el programa CVE en el ecosistema de ciberseguridad y aplaude a CISA por ayudar a extender el programa.
Además, establecer el Fundación CVE Marca un progreso importante para hacer que la gestión de vulnerabilidad sea más resistente al eliminar una dependencia central. Su objetivo es mantener el programa CVE un esfuerzo globalmente respetado y dirigido por la comunidad. Además, permite a la comunidad world de ciberseguridad construir un marco de gobernanza adecuado para la naturaleza sin frontera de las amenazas cibernéticas actuales.
Si el programa CVE se detuviera o se degradara significativamente, el impacto en la seguridad del software program de código abierto sería profundo. Sin CVE como punto de referencia:
- Los problemas de seguridad en proyectos de código abierto se fragmentarían
- Las vulnerabilidades serán informadas de manera inconsistente y difícil de coordinar
- Parcheo retrasado, confianza reducida y mayor riesgo de explotación
Los desarrolladores, los mantenedores y los usuarios perderían un mecanismo crítico para la divulgación responsable y la respuesta colectiva, debilitando en última instancia la postura de seguridad de toda la comunidad de código abierto.
Los proveedores, el gobierno y las comunidades de código abierto deben permanecer dedicadas a apoyar la integridad y la disponibilidad de recursos críticos de ciberseguridad como el programa CVE.
El sistema es basic para la seguridad del software program de código abierto. Las CVE permiten una comunicación y coordinación claras entre desarrolladores, profesionales de seguridad y organizaciones en todo el mundo.
En el ecosistema de código abierto, donde la transparencia y la colaboración son clave, las CVE sirven como un punto de referencia estandarizado. Permiten la divulgación responsable al proporcionar un lenguaje común para describir las vulnerabilidades, asegurando que todos los interesados puedan comprender y abordar los problemas de seguridad de manera efectiva.
Cisco sigue dedicado a colaborar con socios de la industria, gobierno y partes interesadas para apoyar iniciativas que mantienen la integridad y la disponibilidad de recursos de ciberseguridad esenciales.
Para obtener más información sobre el compromiso de Cisco con la transparencia, visite el Centro de confianza.
Para obtener acceso directo a todas las revelaciones de vulnerabilidad de Cisco, visite el Centro de seguridad de Cisco.
Nos encantaría escuchar lo que piensas. ¡Haga una pregunta, comente a continuación y manténgase conectado con Cisco Safety en Social!
Canales sociales de seguridad de Cisco
Compartir:
