O governo dos Estados Unidos renovou o financiamento da CVE, a principal base de dados sobre vulnerabilidades de cibersegurança.
Essa renovação ocorreu um dia antes do prazo final, o que gerou uma situação de apreensão entre os envolvidos.
A Mitre, entidade que administra essa base de dados, estabeleceu a CVE Foundation com o objetivo de angariar doações e sustentar o projeto de forma independente, sem depender unicamente de recursos governamentais.
Segundo o presidente da instituição, existe um risco real de ataques à infraestrutura da CVE, caso houvesse uma pausa nas operações.
A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) confirmou a renovação do contrato com a Mitre, que é uma organização sem fins lucrativos responsável pelo CVE.
“O programa CVE é essencial para a comunidade de cibersegurança e representa uma prioridade para a CISA”, afirmou um porta-voz da agência ao portal Bleeping Computer.
“A CISA realizou a extensão do contrato na noite anterior para assegurar a continuidade dos serviços críticos oferecidos pela CVE”, acrescentou.
A duração dessa extensão de contrato é de 11 meses.
O fim do contrato estava previsto para a última quarta-feira, 16 de abril, levando Yorsy Barsoum, presidente da entidade, a redigir uma carta aos membros do conselho alertando sobre os perigos de um hiato no financiamento.
“Uma interrupção nos serviços pode acarretar vários impactos negativos para a CVE, como a degradação do ecossistema nacional de vulnerabilidades, afetando bancos de dados, diretrizes, fornecedores de ferramentas, operações de resposta a incidentes e todo tipo de infraestrutura crítica”, esclareceu Barsoum antes da oficialização da extensão.
Com a possibilidade de não contar mais com o apoio financeiro dos Estados Unidos, a Mitre tomou a iniciativa de criar a CVE Foundation.
Ainda não foram divulgados detalhes específicos sobre a fundação, mas é esperado que ela busque por contribuições para manter a operacionalidade da base de dados.
O que significa CVE?
CVE é a sigla para Common Vulnerabilities and Exposures, uma base de dados que cataloga falhas de cibersegurança já identificadas.
Por meio desse sistema, cada vulnerabilidade detectada é associada a um identificador único.
Se você acompanha as atualizações sobre cibersegurança, possivelmente já viu menções a um código composto por “CVE”, seguido pelo ano e alguns dígitos adicionais.
Esse código é fundamental para evitar confusões entre os profissionais da área, possibilitando uma comunicação clara sobre qual falha está sendo discutida, além de facilitar a coordenação de correções, o compartilhamento de informações e a divulgação de recomendações de segurança.
A Mitre também é responsável pelo CWE (Common Weakness Enumeration), que compreende uma lista de vulnerabilidades comuns em software e hardware.
Quem financia o CVE?
O financiamento para o CVE vem do Departamento de Segurança Interna (DHS), através da Agência de Cibersegurança e Segurança de Infraestrutura (CISA).
A demora na renovação do contrato com a Mitre não foi esclarecida, mas, conforme a Reuters, o governo de Donald Trump tem promovido cortes de despesas, seguindo diretrizes do Departamento de Eficiência Governamental (DOGE), liderado por Elon Musk.
Publicidade
Tenha acesso aos melhores hackers éticos do mercado através de um serviço personalizado, especializado e adaptado para o seu negócio. Qualidade, confiança e especialidade em segurança ofensiva de quem já protegeu centenas de empresas. Saiba mais...