Dalam kepanikan menit terakhir sebelum kontrak penting berakhir pada Selasa malam, Badan Keamanan Siber dan Infrastruktur Amerika Serikat memperbarui pendanaannya untuk proyek pelacakan kerentanan perangkat lunak jangka panjang yang dikenal sebagai Program Kerentanan Umum dan Paparan. Diatur oleh kelompok riset dan pengembangan nirlaba MITRE, Program CVE adalah penopang keamanan siber global—memberikan data dan layanan kritis untuk pertahanan digital dan riset.
Program CVE dikelola oleh sebuah dewan yang menetapkan agenda dan prioritas untuk MITRE laksanakan menggunakan pendanaan CISA. Juru bicara CISA mengatakan pada hari Rabu bahwa kontrak dengan MITRE diperpanjang selama 11 bulan. “Program CVE sangat berharga bagi komunitas siber dan menjadi prioritas CISA,” ujar mereka dalam sebuah pernyataan. “Kemarin malam, CISA melaksanakan periode opsi pada kontrak untuk memastikan tidak akan ada jeda dalam layanan CVE yang penting. Kami menghargai kesabaran mitra dan pemangku kepentingan kami.”
Wakil presiden dan direktur MITRE dari Pusat Keamanan Homeland, Yosry Barsoum, mengatakan dalam pernyataan pada hari Rabu bahwa “CISA mengidentifikasi pendanaan tambahan untuk menjaga Program tetap beroperasi.” Dengan waktu semakin menipis sebelum keputusan ini diumumkan, beberapa anggota dewan Program CVE mengumumkan rencana untuk mentransisikan proyek ke entitas nirlaba baru yang disebut Yayasan CVE.
“Sejak awal, Program CVE beroperasi sebagai inisiatif yang didanai pemerintah AS, dengan pengawasan dan manajemen yang diberikan di bawah kontrak. Meskipun struktur ini telah mendukung pertumbuhan program, hal ini juga menimbulkan kekhawatiran yang telah lama ada di antara anggota dewan CVE tentang keberlanjutan dan netralitas sumber daya yang sangat diandalkan secara global yang terikat pada satu sponsor pemerintah,” tulis Yayasan dalam sebuah pernyataan. “Kekhawatiran ini menjadi mendesak setelah surat dari MITRE pada tanggal 15 April 2025, yang memberitahu dewan CVE bahwa pemerintah AS tidak bermaksud memperbarui kontraknya untuk mengelola program. Meskipun kami berharap hari ini tidak akan datang, kami telah mempersiapkan diri untuk kemungkinan ini.”
Belum jelas siapa dari dewan CVE saat ini yang terlibat dengan inisiatif baru ini selain Kent Landfield, anggota industri keamanan siber jangka panjang yang dikutip dalam pernyataan Yayasan CVE. Yayasan CVE tidak langsung merespons permintaan komentar.
CISA tidak menanggapi pertanyaan dari WIRED mengenai mengapa nasib kontrak Program CVE menjadi pertanyaan dan apakah itu terkait dengan pemangkasan anggaran baru-baru ini yang melanda pemerintah federal sebagaimana yang diamanatkan oleh administrasi Trump.
Peneliti dan profesional keamanan siber merasa lega pada hari Rabu bahwa Program CVE tidak tiba-tiba berhenti ada sebagai akibat dari ketidakstabilan yang belum pernah terjadi sebelumnya dalam pendanaan federal AS. Dan banyak pengamat menyatakan optimisme berhati-hati bahwa insiden tersebut pada akhirnya bisa membuat Program CVE lebih tangguh jika beralih menjadi entitas independen yang tidak bergantung pada pendanaan dari satu pemerintah atau sumber tunggal lainnya.
“Program CVE sangat penting, dan dalam kepentingan semua orang agar berhasil,” kata Patrick Garrity, seorang peneliti keamanan di VulnCheck. “Hampir setiap organisasi dan setiap alat keamanan bergantung pada informasi ini, dan bukan hanya AS. Ini dikonsumsi secara global. Jadi sangat penting bahwa ini terus menjadi layanan yang disediakan oleh komunitas, dan kita perlu mencari tahu apa yang harus dilakukan, karena kehilangannya akan menjadi risiko bagi semua orang.”
Catatan pengadaan federal menunjukkan bahwa biaya kontrak untuk menjalankan Program CVE mencapai puluhan juta dolar. Namun, dalam skema kerugian yang dapat terjadi dari serangan siber tunggal yang mengeksploitasi kerentanan perangkat lunak yang belum diperbaiki, para ahli memberi tahu WIRED, biaya operasional tampaknya tidak berarti dibanding manfaat bagi pertahanan AS sendiri.
Meskipun pendanaan mendadak CISA, masa depan Program CVE masih tidak jelas untuk jangka panjang. Sebagaimana yang dikatakan sumber, yang meminta anonimitas karena mereka adalah kontraktor federal, “Semuanya sangat bodoh dan berbahaya.”