Власти США займутся устранением проблем базы уязвимостей CVE

Олег Иванов 29 Августа 2018 - 17:20

...

Власти США займутся устранением проблем базы уязвимостей CVE

Правительство США хочет принять меры относительно базы данных общеизвестных уязвимостей информационной безопасности CVE (Common Vulnerabilities and Exposures). Известно, что в последнее время база страдает от различного рода проблем.

Напомним, что проект CVE был официально запущен для общественности в сентябре 1999 года. Над ее созданием работала корпорация MITRE, которая использовала средства правительства США.

Эта база содержит так называемые идентификаторы уязвимостей, с помощью которых легче отслеживать проблемы безопасности.

В большинстве современных программ кибербезопасности используются номера CVE для идентификации и отслеживания кибератак, которые используют определенные ошибки в программах (уязвимости). Эти система используется многими странами.

Однако за последние несколько лет система CVE испытывала ряд вполне определенных проблем. Наиболее очевидно это стало в конце 2015 и начале 2016 года. В частности, исследователи в области безопасности сообщали о больших задержках в присвоении идентификационных номеров тем или иным проблемам безопасности.

Некоторые эксперты даже объединились для создания альтернативной базы данных уязвимостей, которая получила название Distributed Weakness Filing (DWF). На тот момент MITRE объяснила задержки увеличением числа поставщиков программного обеспечения по сравнению с поздними 90-ми и ранними 2000-ми годами.

Также свою роль сыграло распространения систем SCADA и IoT.

Оба этих фактора поспособствовали значительному увеличению числа сообщений о новых уязвимостях, которые персонал CVE не был в состоянии оперативно обрабатывать. В конце 2016 года стало известно, что CVE не смогла присвоить идентификаторы 6 000 уязвимостям, которые были обнаружены еще в 2015 году.

После того как эти проблемы уже нельзя был игнорировать, Комитет Сената США по энергетике и торговле начал исследование системы с, это было в конце марта 2017 года. Сенат имеет право исследовать работу системы, так как та получает финансирование непосредственно от властей.

Теперь результаты исследования опубликованы, и Комитет готов предложить способы решения проблем CVE. В итоге был сделан следующий вывод — недостаточное финансирование Министерства внутренней безопасности (МВБ) США стало причиной того, что система CVE скатилась, накопив огромный список уязвимостей, которым не были присвоены идентфиикаторы.

Второй вывод — отсутствие должного надзора за программой CVE также повлекло за собой отставание системы идентификации.

Власти пообещали принять соответствующие меры, чтобы устранить все проблемы, которые в настоящее время мешают CVE быть на уровне.

Следующая главная новость »

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!

Екатерина Быстрова 22 Июня 2026 - 14:42

Уязвимости программ Ошибки конфигурации программ GenAI (генеративный искусственный интеллект) Малый и средний бизнес Корпорации ГК «Солар»

40% бизнеса считают риски генеративного ИИ критическими

Российский бизнес всё активнее доверяет искусственному интеллекту написание и анализ программного кода. Однако вместе с ростом популярности генеративного ИИ растет и тревога: почти все компании признают, что такие инструменты могут создавать серьезные риски для информационной безопасности.

К такому выводу пришли специалисты УЦСБ и группы компаний «Солар», опросившие более сотни организаций из сфер финансов, промышленности, телекома, энергетики, торговли, медицины и госсектора.

Согласно исследованию, более 80% компаний уже разрешают использовать генеративный ИИ при разработке программного обеспечения. Чаще всего его применяют для ускорения написания кода, анализа программ и поиска уязвимостей.

Но есть нюанс. Сразу 95% участников исследования считают, что генеративный ИИ несет существенные риски безопасности, а 40% называют их критическими.

При этом только половина компаний разрешает использование ИИ в контролируемом режиме — например, через сервисы, развернутые внутри собственного ИТ-контура. Еще тревожнее выглядит другая цифра: около 32% организаций фактически не контролируют использование ИИ разработчиками и не предъявляют требований по информационной безопасности.

На этом фоне бизнес всё активнее смотрит в сторону закрытых корпоративных языковых моделей. Почти 87% опрошенных положительно оценивают внедрение собственных LLM для анализа безопасности, поиска уязвимостей и автоматического исправления кода. Каждый четвертый считает такие решения необходимыми уже сейчас.

Эксперты объясняют осторожность компаний просто. Публичные ИИ-сервисы могут стать источником утечек данных, а их способность находить уязвимости далека от идеала. По оценкам специалистов, открытые LLM-модели пропускают от 40 до 50% проблем безопасности в программном коде.

Кроме того, генеративный ИИ зачастую анализирует код как набор шаблонов, а не понимает его логику целиком. В результате появляются ложные срабатывания, а сложные уязвимости могут остаться незамеченными.

Неудивительно, что компании готовы инвестировать не только в собственные ИИ-модели, но и в процессы MLSecOps, аудит безопасности, red teaming и пентесты ИИ-систем.

Получается парадоксальная ситуация: бизнес уже не хочет отказываться от искусственного интеллекта в разработке, но и полностью доверять ему пока тоже не готов. И чем глубже ИИ проникает в процессы создания ПО, тем острее становится вопрос — кто будет проверять самого ИИ.

Ошибка в настройках стоит дорого: как управлять конфигурациями?
Регистрируйтесь на эфир!