Référence mondiale pour l’identification des failles informatiques, la base de données CVE a frôlé la disparition. Le gouvernement américain a menacé de couper son financement, avant de lui accorder un sursis de dernière minute.
Is Donald Trump a Russian asset?
7 « J'aime »
ben pourquoi pas une base sur un système centralisé/décentralisé/redondant type P2P avec déclaration des failles et validation par des dev ou SSI reconnues par un consensus commun de ces acteurs et hébergée un peu partout avec une gouvernance technique qui éviterait des attaques 51%, voir une techno blockchain ?
3 « J'aime »
super idée! on a hâte que tu nous présente ton projet abouti rapidement…
2 « J'aime »
Parce qu’il y a encore un doute 
5 « J'aime »
Donne moi 100 000 euros, je connais des chinois …
Sinon, (On ?) J’ai trop hâte de lire tes nouveaux commentaires constructifs et bienveillants sans cynisme aucun .
He ben sur ce coup là. …bon courage parce avant de remplace la base cve …
Punaise je ne savais même pas que c’était une association… Je ne te raconte même pas le bord…si ça venait a disparaitre…
1 « J'aime »
Y a une initiative européenne pour proposer une alternative : https://euvd.enisa.europa.eu/
Mais effectivement c’est du boulot, et c’est clairement pas en mesure de remplacer CVE pour l’instant, ne serait ce que à cause de tous les logiciels qui vont taper dans la base et ne permettent pas de de configurer la source, ou qui ne supportent pas des vulnérabilités dont l’ID n’est pas CVE-***
Après, il existe quand même heureusement déjà quelques solutions de secours, notamment la base du CIRCL (l’équivalent luxembourgeois de l’ANSSI) qui reprend le contenu de la base CVE, et qui depuis quelques temps les rend accessibles avec la même API plutôt qu’avec son ancienne API spécifique (à se demander d’ailleurs si ce changement récent n’est pas pour se préparer à une coupure de MITRE…), donc pour tous les softs qui se branchent sur l’API de MITRE mais avec la possibilité de configurer l’adresse de source des données, il y a déjà au moins cette alternative.
Quand à l’alimentation de la base avec des nouvelles CVE, si MITRE disparaissait il resterait possible de continuer à déclarer des CVE auprès des miroirs, la difficulté étant « juste » de se mettre d’accord pour qu’un même numéro ne soit pas attribué à deux failles différentes par deux miroirs différents… C’est pas trivial, mais c’est pas non plus insurmontable, d’autant que les attributions de numéros sont déjà en grande partie faites par des tiers plutôt que directement par MITRE : il y a quelques centaines d’organisations dans le monde qui se font pré-attribuer des plages d’identifiants, puis les utilisent pour remonter des nouvelles CVE dans la base centrale (le plus souvent, pour leurs propres produits, mais parfois aussi pour des produits tiers).
Il y a d’ailleurs un de ces organismes, VulnCheck, qui a réservé une plage plus large que d’habitude face au risque de perte de MITRE, pour pouvoir continuer à numéroter les CVE le temps qu’une alternative se monte.
7 « J'aime »
Non un vrai américain … vrai de vrai, pourquoi ? ah encore un qui croit aux « gentils contre les méchants (pas bo) » ^^ le Monde est un peu plus complexe que cela, ne vous en déplaise.
L’intérêt pour un « américain vrai de vrai » de se tirer une balle dans la tête ?
Puis une américain, oui. Mais « de papiers » diraient certains…
1 « J'aime »
Un vrai américain détruirait-il les agences en charge de protéger l’Amérique d’ingérence étrangère? Un vrai américain affaiblirait-il ses agences de contre-espionnage, de cybersécurité…? Un vrai américain détruirait-il le soft power en laissant uniquement la parole aux pays qui sont ses adversaires? (suppression de Free Asia etc.)
La vrai conclusion, est clairement que cet homme ne travaille pas pour les US.
ou alors que tu ne connais pas bien les USA et leur Histoire … c’est quand même marrant dès qu’un tdc se fait élire qq part, même dans la plus grande « démocratie » au Monde, c’est la faute des méchants russes ?! Trump est un pur produit du rêve américain, du soft-power américain (show tv) et de l’économie ultra-libérale américaine … désolé. Il ne travaille pas dans l’intérêt collectif, uniquement le sien et celui de ses partisans. Les USA ont élu un gangster mégalo haineux à la tête de leur pays, c’est dur à accepter mais y voir une marionnette russe conforte ceux qui n’ont jamais réussi à voir le Monde dans ses nuances et ses contradictions mais n’est pas sérieux.
Ou alors je n’ai absolument pas parlé des USA et de leur histoire, j’ai juste parlé de mettre en place une alternative à un service dont la survie est menacée… Rien à voir donc avec les USA et leur histoire.
À quel moment j’ai dit ça dans mon message ? Ah ben jamais en fait. J’ai même pas parlé de Trump, juste des possibilités qu’il y a pour monter une base alternative à CVE, et les contraintes que ça implique…
le quote a déconné (comme toujours avec ce site) … je répondais au troll charcotp, pas à toi. Ta réponse est très claire et je n’ai rien à y redire (factuel). Désolé et merci
Les quote fonctionnent très bien, tu as dû faire une mauvaise manip …
Surligne le texte que tu veux quoter, puis « citer »
Hop, exemple en cadeau 