Fragen? Antworten! Siehe auch: Alternativlos
CVEs sind Datenbankeinträge über bekannte Sicherheitslücken. Auch betroffen ist das CWE-Programm, das ist ein Klassifizierungsschema für bekannte Arten von Sicherheitslücken.
Ist das jetzt die Apokalypse für IT-Security? Ja und nein. Das zerschießt einmal die Geschäftsmodelle der ganzen inkompetenten Flachhobel, die Security und Compliance nicht auseinanderhalten können, und unter dem Security-Label Compliance-Theater verkaufen. Mich betrifft das nicht.
Die CVEs sind in letzter Zeit eh zu einer Art Währung verkommen, wo Open-Source-Programmierer mit "KI"-generierten Falschmeldungen geradezu erpresst wurden.
In der Auswirkung auf Softwarequalität haben CVEs meiner Ansicht nach nicht viel beigetragen, waren sogar kontraproduktiv, weil sie einen gut erreichbaren Trichter für Ausgaben in IT-Security geschaffen haben, der dann das Geld von tatsächlich sinnvollen und notwendigen Dingen weggesaugt hat.
Heutzutage bestehen IT-Security-Investitionen häufig aus Maßnahmen wie "wir lassen ein Tool laufen, das guckt mal durch unsere Bibliotheken, ob da was veraltetes dabei ist", nur halt dass der nicht auf Veraltung checkt sondern auf "sind da bekannte CVEs drin", was nicht das Gleiche ist. Und so ist am Ende die Software unsicher aber alle sind happy. Der Hersteller hat Geld für IT-Security ausgegeben, ein Toolhersteller hat sein überflüssiges Theater-Tool verkauft, das nichts gebracht hat, ein paar Berater haben noch Kohle für SBOM-Theater extrahiert. Tatsächliche Sicherheit ist nicht herbeigeführt worden.
CWEs sind ein bisschen besser aber ist im Wesentlichen auch bloß ein Verwaltungs-Wasserkopf mit dem Ziel, nicht alle Lücken schließen zu müssen, sondern zu verhandeln anfangen zu können, welche Lücken denn jetzt besonders schlimm sind und nur die zu bearbeiten, wenn überhaupt.
Wenn jetzt dieses ganze Schmarotzer-Ökosystem stirbt, das um CVEs entstanden ist, wäre das unter dem Strich glaube ich ein großer Gewinn für die IT-Security insgesamt.
Abgesehen davon: Selbst WENN man davon ausgeht, dass CVEs sinnvoll und nützlich und habenswert sind, wieso macht man sich dann ohne Not von der US-Regierung abhängig? Tausende von Klitschen drucken quasi Geld mit "Threat Intelligence" und Such-Tools, wieso gründen die nicht eine unabhängige Genossenschaft und jeder zahlt da ein paar Dollar ein und fertig?
Sorry, ich sehe hier keine Apokalypse. Ich sehe hier eine potentielle Selbstheilung. Mit Firmen, die von CVE-Datenbanken profitiert haben, habe ich kein Mitleid und ihr solltet auch keines haben.
Update: Kris dazu.
Update: phk dazu. Ein Mann nach meinem Geschmack, wenn ihr euch mal seine Forderungen anschaut.
Update: Eine Bemerkung am Rande noch: Der größte Konsument der CVE-Datenbanken ist die US-Regierung. Veröffentlicht wird das bloß, weil in den USA kein Copyright auf amtliche Schriftstücke möglich ist, wie bei uns übrigens auch. Wenn man also das Geld schon ausgibt, kann man das auch öffentlich machen.
Dazu kommt, dass die US-Regierung außer Compliance-Theater im Wesentlichen keinen Plan hat, insofern war das schon keine sehr kluge Maßnahme von Agent Orange.