На момент написания новости содержимое БД CVE обновляется, а сайт cve.mitre.org продолжает работать (в США пока ночь, отключение может быть произведено после начала рабочего дня). В случае прекращение работы сервисов MITRE исторические данные об уже выданных CVE-идентификаторах сохранятся в зеркале на GitHub.
CVE-идентификаторы имеют критическое значение для инфраструктуры обеспечения безопасности так как позволяют отслеживать исправление каждой конкретной уязвимости и гарантировать, что разные продукты и сервисы ссылаются на одну и ту же уязвимость. Все системы отслеживания уязвимостей и координации их устранения так или иначе завязаны на CVE. Вероятно корпорации найдут способ сохранить проект CVE, предоставив независимое совместное финансирование или создав отдельный консорциум.
Назначение CVE уже частично децентрализовано — многие проекты и компании получили статус CNA (CVE Numbering Authority), предоставляющий право самостоятельно назначать CVE-идентификаторы в своей области ответственности, используя для этого выдаваемые MITRE отдельные диапазоны CVE-номеров. При этом основная работа по выдаче отдельных CVE-номеров по запросу до сих порт проводилась силами MITRE.
Статус CNA имеют 453 проекта и компании, среди которых разработчики ядра Linux, Apache, Curl, Debian, Eclipse, Fedora, FreeBSD, Glibc, Gitea, Go, Kubernetes, Node.js, LibreOffice, Mozilla, OpenSSL, PHP, Perl, PostgreSQL, Python, Xen, ISC, Red Hat, Canonical, SUSE, GitHub и Google. Роль MITRE при взаимодействии с CNA сводится к координации выделения CVE-диапазонов и отслеживанию возможных пересечений CVE-идентификаторов (с одной уязвимостью должен быть связан только один идентификатор CVE).
Источник: http://www.opennet.ru/opennews/art.shtml?num=63085