CVEプログラム継続決定 - 停止時はどんな影響が想定されたのか？

仮にサービスが停止した場合、どのような影響が想定されたか

今回サービスの停止は回避されたが、仮にサービス停止に至った場合はどのような影響が想定されたのか。

JPCERT/CCによれば、プログラムが一時的に滞ったり、停止した場合も、CVE番号の採番作業は、MITREに限らず、JPCERT/CCやINCIBEのような各地域の組織や、ベンダーなどCNAが分担して進めているため、ただちに脆弱性調整に問題が起こる可能性は低いという。

一方で、MITREが資金難に陥った場合などは事務局の機能が停止。CNAの引き受け手がなく、MITREが対応してきた脆弱性に対する識別子の付与や、新規のCNAの認定、CVEプログラム全体に関わる庶務、意思決定が難しくなるといったリスクも想定された。

国内におけるCNA業務の観点では、仮にCVE番号の新規付与に影響が生じた場合も、JVNなどは各アドバイザリに文書番号を付与しており、脆弱性情報を追跡するためのインデックスに即座に影響が生じるわけではないとしている。

またCVE番号の発行については、脆弱性情報の公表タイミングや調整業務などの実務に影響を与えるものではないと説明。脆弱性の報告、報告を受けたベンダー側の対処は、従来どおり協力して進めていくことが重要だとしている。

（Security NEXT - 2025/04/18 ）ツイート