EU lancerer globalt sårbarhedsregister

Et nyt europæisk initiativ forsøger nu at rokke markant ved den måde, verden identificerer og deler oplysninger om sårbarheder på. Global Cybersecurity Vulnerability Enumeration (GCVE) er lanceret som et åbent, decentraliseret alternativ til det amerikansk forankrede CVE‑system, og modtagelsen i sikkerhedsmiljøet er tydeligt positiv.

Det skriver Infosecurity Magazine.

GCVE samler allerede data fra mere end 25 offentlige kilder og gør det muligt for såkaldte GCVE Numbering Authorities (GNAs) selv at tildele og offentliggøre sårbarhedsidentifikatorer. Tanken er enkel: mindre central kontrol, mere robusthed og større fleksibilitet.

Dagsorden: Digital suverænitet

Ifølge projektet selv skal platformen db.gcve.eu drives af DKCERTs kolleger og venner i luxembourgske CIRCL, der også har udviklet sårbarhedsvarslingstjenesten Vulnerability Look Up, og som DKCERT har etableret sin egen instans af på Vulnerability.cert.dk.  

GCVE vil fungere som et globalt referencepunkt for sårbarhedsdata og lægger vægt på europæisk kontrol med både infrastruktur og data. Det kobles således direkte til ønsket om digital suverænitet og mere modstandsdygtige systemer til deling af sårbarhedsinformation.

En nødvendig modvægt efter amerikansk turbulens

I Infosecurity Magazines analyse af systemet vurderes det, at GCVE ligner ”en teknisk forbedring”. Men konteksten fortæller en anden historie, som vi også har skrevet om her på cert.dk: usikkerheden om CVE‑systemets fremtid har aldrig været større.

I 2025 blev CVE‑programmet kastet ud i en krise, da den amerikanske regering midlertidigt fjernede over 28 millioner dollars i finansiering til MITRE – organisationen, der driver CVE. Først i sidste øjeblik trådte CISA til med en kort kontraktforlængelse. En forlængelse, der nærmer sig sin afslutning om et par måneder.

For mange sikkerhedsfolk var det et wake‑up call.

At én enkelt organisation – afhængig af én enkelt regerings prioriteringer – i praksis sidder på verdens mest centrale sårbarhedsregister, blev tydeligt for sårbart.

Derfor vækker GCVE begejstring i miljøet og blandt de kilder, som Infosecurity Magazine bruger. Det handler ikke om at erstatte CVE, men om at skabe redundans. Som en leder i branchen udtalte: ”Hvis CVE lukkes ned, må det ikke lamme hele sikkerhedsøkosystemet.”

Hurtigere data, flere kilder og færre flaskehalse

Et andet centralt kritikpunkt mod CVE‑programmet har været tempoet. I takt med, at både trusselslandskabet og antallet af nye sårbarheder vokser, har MITRE og den amerikanske NVD kæmpet for at følge med.

GCVE forsøger at løse problemet ved at decentralisere:

• GNAs kan tildele identifikatorer uden at vente på central godkendelse
• Data kan normaliseres på tværs af leverandører og advisories
• Flere kilder kan kombineres automatisk

Resultatet bør, hvis modellen holder, være både hurtigere dokumentation og hurtigere reaktionstid, når nye sårbarheder bliver kendt og udnyttet.

Det er også centralt, at GCVE er designet til kompatibilitet. Det skal ikke være et “enten/eller”, men et “både/og”. Altså et lag oven på eksisterende systemer, ikke en erstatning.

Massive investeringer i digital suverænitet

Infosecurity Magazine nævner, at EU har de seneste år investeret massivt i digital suverænitet, og GCVE passer lige ind i fortællingen om at mindske afhængigheden af amerikanske platforme. Samtidig eksisterer GCVE side om side med det forgangne års lancering af European Vulnerability Database (EUVD) – og i forlængelse af det også Vulnerability Look Up.

Flere eksperter peger dog på en risiko: Hvis GCVE og CVE ikke bevæger sig i takt og taler nogenlunde samme sprog, kan det skabe forvirring hos både leverandører og sikkerhedsprofessionelle.

En ledende trusselsanalytiker formulerede bekymringen skarpt:

“Diversitet er godt – men kun, hvis den ikke skaber fragmentering.”

Det bliver derfor afgørende, at GCVE arbejder videre på fuld kompatibilitet med CVE-formatet, så organisationer ikke skal vedligeholde to parallelle universer af sårbarhedsdata, hedder det rimeligt nok i Infosecurity Magazine.

Et europæisk initiativ med global rækkevidde

Trods advarslerne er stemningen overvejende optimistisk. For første gang i mange år ser vi et større, internationalt projekt, der udfordrer det monopol, MITRE har haft på unikke sårbarhedsidentifikatorer.

GCVE’s værdiforslag hviler på tre principper:

1. Decentralisering – flere aktører kan bidrage direkte
2. Åbenhed – både software og data er frit tilgængelige
3. Robusthed – ingen enkelt aktør kan lamme hele systemet

Hvis initiativet vinder udbredelse, kan det skabe en mere resilient global infrastruktur for sårbarhedsdeling – og måske endda et sundt, konstruktivt konkurrencepres på CVE‑systemet, slutter magasinet.