CVE-programmets usikre fremtid truer MITRE’s Top 25-liste

Eskil Sørensen
12.15.2025 14:40
Og den globale forsyningskæde af sårbarhedsformidling og -håndtering

MITRE’s årlige CWE Top 25-liste er et centralt værktøj for udviklere og sikkerhedsprofessionelle verden over. Listen identificerer de mest kritiske software-svagheder, som angribere udnytter til at kompromittere systemer, stjæle data og forstyrre tjenester. Men forudsætningen for, at denne liste overhovedet kan udarbejdes, er, at der indrapporteres og registreres sårbarheder under CVE-programmet (Common Vulnerabilities and Exposures).

Og her ligger problemet: CVE-programmet står over for en alvorlig finansieringskrise.

Funding kun sikret til marts 2026

Som vi skrev om i foråret var funding af programmet sat til at stoppe, men i sidste øjeblik blev det besluttet fra den amerikanske regerings side at forlænget MITRE’s finansiering med 11 måneder – frem til marts 2026. Forlængelsen blev beskrevet som en midlertidig løsning for at undgå et stop i CVE-programmet, som hidtil har været set som et fundamentalt for global sårbarhedshåndtering.

MITRE’s VP Yosry Barsoum advarede tidligere i år om, at uden yderligere finansiering vil både CVE- og CWE-programmerne stå uden ressourcer. Det betyder ikke blot, at CVE-databasen stopper med at registrere nye sårbarheder – men også, at MITRE’s Top 25-liste, som bygger på analyser af tusindvis af CVE’er, ikke længere kan udarbejdes.

CVE-programmet anses af mange for at være rygraden i global cybersikkerhed:

  • Det giver en fælles standard for identifikation af sårbarheder.
  • Det muliggør koordinering af patching og risikovurdering på tværs af leverandører og organisationer.
  • Det er grundlaget for automatiserede værktøjer, vulnerability management og compliance.

Uden CVE vurderes sikkerhedsøkosystemet at blive fragmenteret, og organisationer ville miste et centralt referencepunkt for trusselsinformation.

EUs sårbarhedsdatabase står på spring

Der er ingen officiel langsigtet aftale. Det forventes dog, at den amerikanske regering vil forlænge finansieringen, bl.a. som følge af ores fra cybersikkerhedsbranchen, men der er bekymring for, at en ny aftale kan blive kortvarig eller underfinansieret.

Allerede for et par år siden gik EU’s cybersikkerhedsagentur (ENISA) i gang med at udvikle sin egen sårbarhedsdatabase, der mere eller mindre tilfældigt blev lanceret i ugerne omkring fundingproblemerne med CVE-programmet. Funding til CVE-programmet eller ej, så har ENISA en fuldgyldig erstatning.

I DKCERT henviser vi i vores omtaler og varsler om sårbarheder både til ENISAs sårbarhedsdatabase – EUVDB - og CVE-programmet. Nomenklaturen er forskellig, men princippet er det samme. Dog tilbyder EUVDB flere funktionaliteter og indholdstyper. Bl.a. indeholder det EPSS-scoren, som angiver en sandsynlighed for at man bliver udsat for en udnyttelse. EUVDB-bruger vi også i DKCERTs egen instans af CIRCLs ”Vulnerability Lookup”, vulnerability.cert.dk, hvor man kan tilmelde sig til at få notifikationer, når relevante sårbarheder bliver annonceret. 

Information