Pada tanggal 16 April 2025, dunia keamanan siber menghadapi potensi krisis besar: program Common Vulnerabilities and Exposures (CVE) yang dikelola oleh MITRE terancam berhenti total karena kontraknya dengan Departemen Keamanan Dalam Negeri Amerika Serikat (DHS) akan berakhir, tanpa kepastian akan diperpanjang.
CVE adalah sistem penting yang telah digunakan selama lebih dari 20 tahun untuk memberikan identitas unik bagi setiap celah keamanan dalam perangkat lunak. Tanpa CVE, banyak organisasi—termasuk perusahaan teknologi, tim keamanan TI, vendor software, bahkan lembaga pemerintah seperti CISA dan Departemen Pertahanan—akan kesulitan melacak dan merespons ancaman siber.
Lebih dari Sekadar Kontrak yang Belum Diperpanjang
Masalah ini bukan sekadar birokrasi. Menurut Jason Soroko dari Sectigo, jika kontrak MITRE tidak diperpanjang, dampaknya bisa sangat luas: dari menurunnya kualitas database keamanan nasional, terganggunya kerja alat deteksi dan patch, hingga potensi bahaya bagi infrastruktur penting.
MITRE memastikan bahwa catatan lama CVE masih bisa diakses di GitHub. Namun, tanpa dana operasional, tidak akan ada lagi penambahan celah baru ke dalam sistem, dan itu membuat dunia buta terhadap ancaman yang muncul.
Bayangkan Dunia Tanpa CVE
Greg Anderson, CEO DefectDojo, menyebut situasi ini sebagai “mimpi buruk” bagi profesional keamanan siber. Ia menjelaskan betapa kacaunya jika tidak ada sistem standar seperti CVE: setiap organisasi bisa menamai celah dengan sebutan yang berbeda, membuat komunikasi dan penanganan menjadi lambat dan tidak efisien.
Tanpa CVE, peneliti dan tim keamanan harus bekerja ekstra keras mengumpulkan informasi dari berbagai sumber, sebuah proses yang sangat memakan waktu. Padahal, ada lebih dari 40.000 celah keamanan yang tercatat tahun lalu saja.
Desakan dari Komunitas Siber Global
Banyak pihak menyerukan agar pemerintah segera bertindak. Casey Ellis dari Bugcrowd mengatakan bahwa ketergantungan pada CVE begitu besar hingga jika program ini terhenti, bisa menjadi masalah keamanan nasional yang serius.
MITRE menyatakan masih berdiskusi dengan pemerintah AS dan tetap berkomitmen menjaga keberlangsungan program. Namun, waktu terus berjalan dan belum ada solusi konkret yang diumumkan.
Saatnya Bangun dan Bertindak
Kejadian ini menjadi peringatan keras bagi pembuat kebijakan dan industri teknologi. Program sepenting CVE seharusnya tidak dibiarkan hidup segan mati tak mau setiap tahun karena masalah pendanaan. Diperlukan sistem pendanaan yang stabil dan model pengelolaan jangka panjang agar tidak terulang di masa depan. Menghentikan CVE, walau sebentar, ibarat mematikan menara pengawas di tengah lalu lintas udara. Ini bukan sekadar soal database, tapi soal kepercayaan pada sistem yang menjaga kita dari ancaman digital.