CVE Hampir Dihentikan

Apa itu CVE?

Common Vulnerabilities and Exposures (CVE) adalah sistem referensi publik yang digunakan secara global untuk mengidentifikasi, melacak, dan mendokumentasikan kerentanan keamanan siber (vulnerabilities). Setiap kerentanan diberi kode unik yang diawali dengan “CVE-” diikuti oleh tahun dan nomor urut (contoh: CVE-2025-12345).

Program ini dikelola oleh MITRE Corporation, sebuah organisasi nirlaba yang bekerja sama dengan pemerintah AS, dan didanai oleh Cybersecurity and Infrastructure Security Agency (CISA). CVE adalah sumber utama yang digunakan oleh peneliti keamanan, vendor software, dan komunitas open-source untuk:

• Melaporkan bug dan kerentanan.

• Mengintegrasikan patch keamanan.

• Mengkoordinasikan respons terhadap ancaman keamanan global.

Mengapa CVE Hampir Dihentikan ?

Pada awal 2025, muncul kekhawatiran bahwa program CVE akan dihentikan. Kontrak antara CISA dan MITRE diketahui akan berakhir pada 16 April 2025, dan pada saat itu belum ada kepastian apakah pendanaan akan diperpanjang.

Kontrak pendanaan antara MITRE dan pemerintah AS, melalui Badan Keamanan Siber dan Infrastruktur (CISA), hampir tidak diperpanjang tepat waktu. Keterlambatan ini terjadi di tengah pemotongan anggaran federal yang lebih luas, meskipun tidak ada penjelasan resmi mengenai alasan spesifik keterlambatan tersebut.

Situasi ini menimbulkan kepanikan di komunitas keamanan siber global. Tanpa pendanaan, MITRE tidak dapat lagi menjalankan fungsi utamanya dalam mengelola sistem CVE, termasuk pengelolaan ID CVE, distribusi data, dan moderasi pengajuan kerentanan.

Apa yang Terjadi Selanjutnya ?

Dalam keputusan mendadak, CISA memperpanjang kontrak MITRE selama 11 bulan, mencegah penghentian layanan CVE. Namun, ketidakpastian jangka panjang tetap ada, terutama terkait keberlanjutan pendanaan dan stabilitas program ini. Sebagai respons, anggota dewan CVE mengusulkan pembentukan CVE Foundation, sebuah organisasi nirlaba yang bertujuan untuk menjaga keberlanjutan dan netralitas program ini di masa depan.

Program Common Vulnerabilities and Exposures (CVE), yang dikelola oleh MITRE, hampir dihentikan karena kontraknya dengan pemerintah AS berakhir pada 16 April 2025. Namun, dalam keputusan mendadak, Badan Keamanan Siber dan Infrastruktur AS (CISA) memperpanjang kontrak MITRE selama 11 bulan, mencegah penghentian layanan CVE. Sebelumnya, laporan dari Wired menyebutkan bahwa kontrak MITRE untuk mengelola program CVE diperpanjang selama 11 bulan, tanpa menyebutkan perpanjangan hingga Maret 2026.

Apa yang Bisa Kita Pelajari ?

Media seperti Wired dan BleepingComputer melaporkan secara intens mengenai potensi “shutdown” ini. Wired mengungkap bahwa penghentian CVE bisa berdampak fatal pada koordinasi global dalam hal patching kerentanan. Beberapa kutipan penting dari laporan Wired: “CVE is the backbone of global cybersecurity coordination. Its shutdown would cripple vulnerability response processes.”

Komunitas keamanan, termasuk vendor besar seperti Google, Microsoft, dan Apple, menyuarakan keprihatinan mereka. Beberapa di antaranya bahkan bersiap menggunakan sistem internal jika program CVE tidak lagi tersedia secara publik.

Sebagai langkah jangka panjang, beberapa anggota dewan CVE mengusulkan pembentukan entitas independen bernama CVE Foundation. Tujuan utamanya adalah:

• Menjaga netralitas program.

• Mengamankan pendanaan dari berbagai sumber.

• Menjamin keberlanjutan jangka panjang.

Kesimpulan

CVE adalah tulang punggung ekosistem keamanan siber global. Ketidakpastian pendanaan seperti ini seharusnya menjadi pelajaran penting untuk tidak hanya bergantung pada satu sumber. Perpanjangan hingga 2026 memberi waktu bagi komunitas untuk memperkuat fondasi keuangan dan struktural program ini.

Jangan menunggu sampai dunia lumpuh karena sistem pelaporan kerentanan berhenti bekerja. CVE adalah kebutuhan, bukan pilihan.