「CVEプログラム」の運用財団が設立 - 米政府契約終了を受け移行か

セキュリティ分野で脆弱性の識別に用いられる「CVE（共通脆弱性識別子）」の管理団体として「CVE Foundation」が設立された。今後詳細について発表するとしている。

現地時間2025年4月16日にウェブサイトで公表されたもの。「CVE」の持続性や中立性の確保を目的としており、非営利法人として「CVE」の管理運営を推進していくと述べた。

「CVE」は、いわゆる脆弱性を識別、管理するためにグローバルで広く活用されている共通の識別子。制度運用開始から25周年を迎え、2025年4月の時点で約27万5000件が登録されている。

同制度を一元管理していたMITREは、4月15日付けで「CVE」のボードメンバーに書簡を送付。従来より運用にあたって米国政府の資金提供に依存してきたが、米政府が契約を更新せず、2025年4月16日で契約が失効することを明らかにしていた。

CVE Foundationは設立の発表にあたり、単一国の政府にプログラムを依存している点が、持続可能性や中立性を損なうのではないかと長年にわたり懸念があったと説明。ボードメンバーが非営利財団に移行するための戦略を1年間かけて策定してきたと述べた。

（Security NEXT - 2025/04/17 ）ツイート