O programa de segurança Common Vulnerabilities and Exposures (CVE) teve seu financiamento federal suspenso nesta quarta-feira (16). A organização sem fins lucrativos MITRE Corporation anunciou que o acordo com o governo dos Estados Unidos expirou, colocando em risco a disponibilidade da plataforma. Felizmente, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) restabeleceu o fundo de investimento pouco tempo depois.
“Na quarta-feira, 16 de abril de 2025, o atual contrato que viabiliza o desenvolvimento, a operação e a modernização do CVE e de outros programas relacionados pela MITRE, como o CWE, expirará”, informou a MITRE. “Caso ocorra uma interrupção no serviço, prevemos múltiplos impactos ao CVE, incluindo a deterioração de bancos de dados e alertas nacionais de vulnerabilidades, fornecedores de ferramentas, operações de resposta a incidentes e todos os tipos de infraestrutura crítica”, continuou a nota.
O CVE é uma das plataformas mais importantes no universo da segurança cibernética, sendo responsável por identificar, catalogar e descrever vulnerabilidades e brechas de segurança. O projeto adota um formato de fácil rastreabilidade, com o prefixo “CVE” seguido do ano de descoberta da falha e um número serial correspondente.
Empresas do mundo inteiro — inclusive gigantes como Google, Apple e Microsoft — se beneficiam das identificações oferecidas pelo CVE. Por meio desses registros, é possível documentar brechas recém-descobertas e facilitar a comunicação com pesquisadores da área.
O TecMundo também utiliza frequentemente o projeto CVE, principalmente em reportagens relacionadas à cibersegurança. O ranqueamento e a avaliação de risco associados a cada falha permitem à redação compreender a gravidade do achado, contribuindo para uma cobertura mais precisa.
O projeto CVE é mantido pela MITRE Corporation, uma associação sem fins lucrativos dos Estados Unidos, mas também está sob o guarda-chuva do Departamento de Segurança Interna dos EUA.
CVE declarou independência
Logo após o anúncio da MITRE, membros do conselho revelaram a criação da CVE Foundation, uma organização sem fins lucrativos dedicada exclusivamente à manutenção das atividades do programa.
“Desde sua criação, o Programa CVE operou como uma iniciativa financiada pelo governo dos Estados Unidos, com supervisão e gestão fornecidas por contrato”, declarou a nova entidade. “Embora essa estrutura tenha apoiado o crescimento do programa, ela também levantou preocupações de longa data entre os membros do Conselho do CVE quanto à sustentabilidade e à neutralidade de um recurso globalmente confiável estar vinculado a um único patrocinador governamental”, concluiu.
Segundo a CVE Foundation, é planejada uma transição para corrigir esse ponto crítico no ecossistema de gerenciamento de vulnerabilidades digitais desde o ano passado. Os detalhes desse processo, no entanto, ainda serão divulgados.
Apoio financeiro foi restabelecido
Pouco depois, a agência americana CISA anunciou que continuará a financiar a agora independente CVE Foundation. Informações adicionais sobre essa nova parceria ainda não foram reveladas.
Quer continuar por dentro das atualizações mais importantes do universo da cibersegurança? Siga o TecMundo nas redes sociais e acompanhe nossa cobertura completa sobre tecnologia, segurança digital e inovação.
#SuperCurioso | www.supercurioso.online
