وزارت امنیت داخلی آمریکا (DHS) از طریق آژانس امنیت سایبری و امنیت زیرساختی (CISA) با تمدید ۱۱‎‌ماهه قرارداد MITRE، مانع وقفه در ارائه خدمات حیاتی برنامه «آسیب‌پذیری‌های رایج و افشا» (CVE) شد. CISA در بیانیه‌ای به BleepingComputer گفت این برنامه برای جامعه سایبری حیاتی است و نمی‌گذارد حتی یک روز از کار بازبماند. پیش‌تر معاون MITRE، هشدار داده بود که بودجۀ CVE و فهرست ضعف‌های رایج (CWE) ۱۶ آوریل تمام می‌شود و توقف حتی کوتاه‌مدت خدمات می‌تواند بر پایگاه‌های ملی آسیب‌پذیری، هشدارهای امنیتی، ابزارهای تولیدکنندگان، عملیات واکنش به رخداد و زیرساخت‌های حیاتی اثر زنجیره‌ای بگذارد.

MITRE که از دهه ۱۹۹۰ با تأمین مالی دولت ایالات متحده مدیریت CVE را برعهده دارد، پس از انتشار خبر، تأیید کرد که «بودجۀ تکمیلی» از سوی CISA تأمین شده و فعالیت‌ها بدون وقفه ادامه می‌یابد. این اقدام واکنش گسترده و حمایتی جامعه جهانی امنیت سایبری را در پی داشت.

هم‌زمان، شماری از اعضای هیئت مدیره CVE برای کاهش وابستگی به یک حامی واحد، بنیاد غیرانتفاعی CVE Foundation را راه‌اندازی کرده‌اند تا در بلندمدت با انتقال تدریجی مسئولیت‌ها، پایداری و بی‌طرفی این منبع حیاتی جهانی تضمین شود و «نقطه تک‌نقطه شکست» در اکوسیستم مدیریت آسیب‌پذیری از میان برود. جزئیات بیشتر این گذار در روزهای آینده منتشر خواهد شد؛ هرچند تمدید بودجۀ فعلی ممکن است جدول زمانی را تغییر دهد.

در اروپا نیز آژانس ENISA پایگاه آسیب‌پذیری اتحادیه اروپا (EUVD) را راه‌اندازی کرده است که اطلاعات آسیب‌پذیری‌ها را از منابع گوناگون جمع‌آوری می‌کند و رویکرد multi‑stakeholder را برگزیده است.

تمدید بودجۀ MITRE دغدغه کوتاه‌مدت را رفع کرده، اما بحث‌های جدی درباره مدل تأمین مالی و اداره درازمدت منابعی نظیر CVE ادامه دارد؛ منابعی که نبودشان می‌تواند ریشه بسیاری از فرایندهای امنیت سایبری را متزلزل کند. کارشناسان می‌گویند متنوع‌سازی حامیان مالی و تمرکز بر حکمرانی باز، کلید تاب‌آوری این خدمات در برابر تحولات سیاسی و اقتصادی آینده است.