De Nederlandse vrijwilligersorganisatie DIVD (Dutch Institute for Vulnerability Disclosure) is een CVE Numbering Authority (CNA) geworden, waardoor het voortaan CVE-nummers voor kwetsbaarheden kan registreren. In 1999 lanceerde de MITRE Corporation de Common Vulnerabilities and Exposures (CVE)-lijst.
CVE voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers. CVE-nummers worden uitgegeven door een CNA. CNA's kunnen een CVE-nummer vragen voor een actueel beveiligingslek, maar het is ook mogelijk om een reeks van CVE-nummers te reserveren en die pas op een later moment te gebruiken.
Het Dutch Institute for Vulnerability Disclosure scant op internet naar kwetsbare systemen zodat het betrokken organisaties kan waarschuwen. Daarnaast doet het beveiligingsonderzoek. Zo ontdekte een DIVD-onderzoeker het beveiligingslek in de software van Kaseya dat vorig jaar voor een wereldwijde ransomware-aanval werd gebruikt. Recentelijk besloot het ministerie van Economische Zaken om het DIVD de komende drie jaar te subsidiëren.
Als CNA kan het DIVD straks CVE-nummers registreren voor de kwetsbaarheden die het zelf vindt, maar ook voor kwetsbaarheden die voortkomen uit het bugbountyprogramma dat het binnenkort zal starten. Onlangs ontving de vrijwilligersorganisatie van securtiybedrijf Huntress een bedrag van 50.000 dollar voor dit programma, alsmede 50.000 dollar voor verdere groei. "Het zelf kunnen uitgeven van CVE-nummers is belangrijk voor onze missie voor een veiligere digitale wereld", aldus het DIVD.
Deze posting is gelocked. Reageren is niet meer mogelijk.