CVE Program Crisis 2025: Drama Pendanaan, Yayasan Baru, dan Peran Trump-Musk

CVE Program Crisis 2025 Mengguncang Dunia Cybersecurity

Di bulan April 2025, dunia keamanan siber (cybersecurity) dikejutkan dengan drama besar: CVE Program Crisis. Program Common Vulnerabilities and Exposures (CVE), yang selama 25 tahun menjadi tulang punggung pelacakan kerentanan global, nyaris kolaps karena kontrak pendanaan MITRE dengan pemerintah AS berakhir.

Situasi ini memunculkan berbagai reaksi, dari kepanikan komunitas tech hingga munculnya Yayasan CVE sebagai penyelamat. Belum lagi, kebijakan pemotongan anggaran ala Trump dan peran Elon Musk melalui inisiatif DOGE ikut jadi sorotan. Apa yang sebenarnya terjadi? Yuk, kita bahas tuntas dalam artikel ini!

Apa Itu CVE Program dan Peran MITRE?

Buat yang belum tahu, CVE Program adalah “kamus” global untuk kerentanan keamanan siber. Setiap kerentanan yang ditemukan diberi ID unik (misalnya CVE-2025-1234), yang membantu tim IT, vendor, dan peneliti untuk berkomunikasi dan menangani ancaman secara efisien. Program ini lahir tahun 1999 dan dikelola oleh MITRE, sebuah organisasi nirlaba di AS yang fokus pada penelitian teknologi dan keamanan siber. MITRE bekerja sama dengan Cybersecurity and Infrastructure Security Agency (CISA) di bawah Departemen Keamanan Dalam Negeri (DHS) untuk mendanai dan mengoperasikan CVE.

CVE itu ibarat “Dewey Decimal System” untuk cybersecurity—tanpa ini, kita kehilangan bahasa standar untuk membahas kerentanan. Bayangkan kalau tiba-tiba semua kamus di dunia hilang; chaos, kan? Nah, CVE punya peran serupa untuk menjaga ekosistem keamanan siber tetap teratur.

Awal Mula CVE Program Crisis: Kontrak MITRE Berakhir

Krisis ini dimulai pada 15 April 2025, ketika @0xTib3rius membagikan surat dari Yosry Barsoum, Wakil Presiden MITRE, yang memperingatkan bahwa kontrak pendanaan CVE akan berakhir pada 16 April 2025.

Surat itu menyebutkan dampak serius jika pendanaan berhenti:

• Tidak ada CVE ID baru untuk kerentanan yang ditemukan.
• Database kerentanan nasional (seperti NVD) akan terdegradasi.
• Peringatan ancaman dan respons insiden jadi lambat, yang bisa membahayakan infrastruktur kritis seperti rumah sakit atau jaringan listrik.

Kabar ini langsung bikin heboh komunitas tech. @TheHackersNews menyebutnya sebagai “Critical Alert”, sementara @vxunderground bahkan buru-buru mengarsipkan database CVE di GitHub sebagai cadangan, takut data bakal “lenyap seperti abu”. Reaksi ini wajar, karena CVE adalah jantung dari banyak alat keamanan siber, mulai dari vulnerability scanner hingga firewall.

Peran Kebijakan Trump dan Elon Musk dalam CVE Program Crisis

Nah, kenapa kontrak ini tiba-tiba berakhir? Ternyata, ini ada kaitannya dengan kebijakan administrasi Trump di 2025. Trump, yang kembali berkuasa, mendorong pemotongan anggaran federal besar-besaran untuk mengurangi peran pemerintah (small government). Salah satu yang terdampak adalah CISA, yang mendanai CVE. Disebutkan bahwa CISA mengalami pemotongan anggaran hingga 40% stafnya terancam dipecat.

Di balik kebijakan ini, ada nama Elon Musk yang ikut jadi sorotan. Musk memimpin inisiatif Department of Government Efficiency (DOGE), yang bertujuan meningkatkan efisiensi pemerintah dengan memangkas biaya. DOGE jadi salah satu “otak” di balik pemotongan anggaran CISA, yang akhirnya mengancam kelanjutan CVE. Komunitas tech di X ramai mengkritik kebijakan ini— @boomslang bahkan menyebut DOGE sebagai “badut” yang membahayakan keamanan siber.

CISA Intervensi: Pendanaan CVE Diperpanjang 11 Bulan

Di tengah kepanikan, CISA akhirnya angkat bicara. Pada 16 April 2025, @CISAgov mengumumkan bahwa mereka telah memperpanjang kontrak pendanaan CVE selama 11 bulan. Dalam tweet resminya, mereka menyebut:

“Program CVE sangat berharga bagi komunitas siber dan prioritas CISA. Tadi malam, kami mengeksekusi periode opsi pada kontrak untuk memastikan tidak ada jeda dalam layanan CVE yang kritis.”

Langkah ini bikin komunitas tech bernapas lega, tapi juga memicu diskusi baru. Perpanjangan 11 bulan hanyalah solusi sementara—setelah itu, apa?

@Crazy__Ginger menyebut situasi ini “tidak dapat diterima” untuk negara sekelas AS yang seharusnya jadi pemimpin global dalam keamanan siber.

Yayasan CVE Muncul: Solusi atau Kontroversi Baru?

Di hari yang sama, @0xTib3rius membagikan pengumuman lain: peluncuran CVE Foundation. Yayasan ini dibentuk oleh sekelompok anggota veteran Dewan CVE, seperti Kent Landfield, untuk mengamankan masa depan CVE dengan menjadikannya entitas nirlaba independen. Tujuannya jelas:

• Mengurangi ketergantungan pada pendanaan pemerintah AS.
• Memastikan CVE tetap jadi sumber daya global yang tepercaya.
• Melibatkan komunitas internasional dalam pengelolaan CVE.

Namun, @0xTib3rius menambahkan catatan bahwa ini bukan tindakan resmi Dewan CVE, melainkan aksi “kelompok yang bertindak sendiri” (rogue group). Hal ini memicu reaksi beragam:

• @zackoch mempertanyakan kesiapan yayasan, karena domain situs mereka baru didaftarkan sehari sebelumnya.
• @KyngoNet menyoroti bahwa situs Yayasan CVE hanyalah situs Google sederhana, yang terlihat kurang profesional.
• @HackingButLegal justru mendukung inisiatif ini sebagai langkah positif.

Meskipun ada kontroversi, Yayasan CVE menunjukkan bahwa komunitas tech mulai mencari solusi jangka panjang untuk CVE Program Crisis ini.

Implikasi CVE Program Crisis untuk Komunitas Tech

Krisis ini membuka mata kita tentang beberapa hal penting:

1. Ketergantungan pada Pemerintah Tunggal Itu Riskan
   CVE selama ini bergantung pada pendanaan CISA, yang ternyata rapuh di tengah perubahan politik seperti kebijakan Trump. Yayasan CVE bisa jadi langkah awal menuju model yang lebih terdesentralisasi.
2. Dampak pada Infrastruktur Kritis
   Tanpa CVE, respons terhadap ancaman siber akan melambat, yang membahayakan infrastruktur kritis seperti jaringan listrik atau sistem kesehatan. Ini bukan cuma masalah tech, tapi juga keamanan nasional.
3. Peran Sektor Swasta dan Komunitas Global
   Banyak yang menyarankan agar sektor swasta (misalnya vendor perangkat lunak) ikut mendanai CVE, atau komunitas global dilibatkan lebih aktif.
   @Nevada Redneck bahkan usul biaya $1.000 per CVE dibebankan ke vendor.

Apa yang Harus Dilakukan Komunitas Tech?

Buat kamu yang aktif di komunitas tech, berikut langkah yang bisa diambil:

• Diversifikasi Sumber Data: Jangan cuma mengandalkan CVE. Pantau sumber lain seperti CISA Known Exploited Vulnerabilities atau laporan vendor.
• Dukung Inisiatif Komunitas: Yayasan CVE membuka peluang kolaborasi global—ini saatnya komunitas tech ikut berkontribusi.
• Advokasi untuk Model Baru: Dorong model pendanaan yang lebih berkelanjutan, misalnya melibatkan sektor swasta atau organisasi internasional.

Kesimpulan: CVE Program Crisis Sebagai Wake-Up Call

CVE Program Crisis 2025 adalah pengingat keras bahwa bahkan infrastruktur keamanan siber paling kritis pun bisa rapuh. Meskipun CISA berhasil memperpanjang pendanaan sementara, munculnya Yayasan CVE menunjukkan perlunya solusi jangka panjang yang independen dari politik pemerintah. Kebijakan Trump dan peran Musk melalui DOGE juga jadi pengingat bahwa faktor eksternal seperti anggaran pemerintah bisa memengaruhi keamanan siber global.

Buat komunitas tech, ini saatnya kita bersatu—baik untuk mendukung inisiatif seperti Yayasan CVE, maupun untuk mendorong model baru yang lebih tahan banting. Bagaimana menurutmu? Share pendapatmu di kolom komentar atau bawa diskusi ini ke komunitas tech-mu! 

Jangan lupa follow Groknesia untuk update terbaru seputar cybersecurity, teknologi, dan tren digital lainnya. Share artikel ini ke komunitas tech-mu agar lebih banyak yang aware soal CVE Program Crisis!

Sumber:

1. Gambar utama: thehackernews.com, gambar kedua: cybernews.com
2. Post x: @0xTib3rius , @0xTib3rius , @CISAgov
3. thehackernews.com: U.S. Govt. Funding for MITRE’s CVE Ends April 16, Cybersecurity Community on Alert
4. cybernews.com: Screw gov’t funding, we’re going nonprofit, CVE Board declares after database debacle
5. cybersecuritynews.com: CVE Foundation Launched To Ensure Long-term Vulnerability Tracking
6. reuters.com: In last-minute reversal, US agency extends support for cyber vulnerability database
7. krebsonsecurity: Funding Expires for Key Cyber Vulnerability Database
8. forbes.com: CVE Program Funding Reinstated—What It Means And What To Do Next