Jakarta | EGINDO.co Program Common Vulnerabilities and Exposures (CVE), yang menjadi tulang punggung identifikasi kerentanan keamanan global, kehilangan pendanaan dari pemerintah Amerika Serikat pada tanggal 16 April 2025. Namun, di tengah ancaman krisis ini, muncul langkah baru dengan peluncuran CVE Foundation, sebuah yayasan nirlaba independen yang bertujuan memastikan kelangsungan program ini secara mandiri.
Apa Itu CVE?
Program CVE diluncurkan pada tahun 1999 oleh MITRE dengan dukungan dari Departemen Keamanan Dalam Negeri (DHS) AS. Program ini adalah sistem standar global untuk melacak kerentanan perangkat lunak, dengan setiap kerentanan diberi nomor unik seperti CVE-2023-46604. Sistem ini memungkinkan komunitas siber berkoordinasi tanpa kebingungan. Tanpa CVE, alat keamanan, advisori, dan tanggap insiden global akan kehilangan fondasi utamanya.
Mengapa CVE Penting?
Selama 25 tahun, CVE bergantung pada pendanaan pemerintah AS. Namun, pada 15 April 2025, MITRE mengumumkan bahwa kontrak dengan pemerintah AS tidak akan diperpanjang. “Tanpa CVE, para “pengaman” siber akan bingung, sementara penyerang semakin leluasa,” kata Jean Easterly, mantan kepala Cybersecurity and Infrastructure Security Agency (CISA).
Casey Ellis dari Bugcrowd menambahkan bahwa gangguan pada CVE dapat memicu masalah keamanan nasional dalam waktu singkat. Kehilangan sistem ini berarti kehilangan kemampuan untuk merespons serangan siber secara efektif.
Harapan Baru: CVE Foundation
Untuk mengatasi krisis ini, sekelompok anggota Dewan CVE meluncurkan CVE Foundation pada 16 April 2025. Yayasan nirlaba ini didedikasikan untuk menjaga misi CVE tetap berjalan tanpa bergantung pada satu sponsor pemerintah.
“Program CVE adalah fondasi ekosistem keamanan siber global. Terlalu penting untuk dibiarkan rentan,” kata Kent Landfield, pengurus CVE Foundation. Yayasan ini bertujuan menghilangkan ketergantungan pada satu sponsor dan menciptakan tata kelola yang lebih inklusif dan global.
Dalam beberapa hari ke depan, CVE Foundation akan merilis detail tentang struktur organisasi, rencana transisi, serta cara bagi komunitas global untuk terlibat.
Sementara itu, CISA menyatakan sedang berupaya memitigasi dampak dari berakhirnya kontrak dengan MITRE. Namun, ketidakpastian tetap membayangi, terutama dengan backlog besar yang masih harus diselesaikan oleh National Institute of Standards and Technology (NIST) untuk National Vulnerability Database (NVD).
“Serangan siber tidak mengenal batas negara, dan begitu pula pertahanan kita. Tanpa CVE, kita semua akan bekerja dalam kegelapan,” tambah Easterly.
Dengan peluncuran CVE Foundation, ada harapan baru untuk masa depan keamanan siber global. Namun, waktu sangatlah krusial. Akankah langkah ini cukup cepat untuk mencegah krisis? Dunia menunggu jawabannya.
Krisis ini masih berkembang, dan mata dunia tertuju pada langkah selanjutnya dari CVE Foundation dan mitra globalnya.
AW / Bleeping Computer / CVE Foundation