O governo dos Estados Unidos renovou o financiamento da CVE, a principal base de dados sobre vulnerabilidades de cibersegurança.
Essa renovação ocorreu um dia antes do prazo final, o que gerou uma situação de apreensão entre os envolvidos.
A Mitre, entidade que administra essa base de dados, estabeleceu a CVE Foundation com o objetivo de angariar doações e sustentar o projeto de forma independente, sem depender unicamente de recursos governamentais.
Segundo o presidente da instituição, existe um risco real de ataques à infraestrutura da CVE, caso houvesse uma pausa nas operações.
A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) confirmou a renovação do contrato com a Mitre, que é uma organização sem fins lucrativos responsável pelo CVE.
“O programa CVE é essencial para a comunidade de cibersegurança e representa uma prioridade para a CISA”, afirmou um porta-voz da agência ao portal Bleeping Computer.
“A CISA realizou a extensão do contrato na noite anterior para assegurar a continuidade dos serviços críticos oferecidos pela CVE”, acrescentou.
A duração dessa extensão de contrato é de 11 meses.
O fim do contrato estava previsto para a última quarta-feira, 16 de abril, levando Yorsy Barsoum, presidente da entidade, a redigir uma carta aos membros do conselho alertando sobre os perigos de um hiato no financiamento.
“Uma interrupção nos serviços pode acarretar vários impactos negativos para a CVE, como a degradação do ecossistema nacional de vulnerabilidades, afetando bancos de dados, diretrizes, fornecedores de ferramentas, operações de resposta a incidentes e todo tipo de infraestrutura crítica”, esclareceu Barsoum antes da oficialização da extensão.
Com a possibilidade de não contar mais com o apoio financeiro dos Estados Unidos, a Mitre tomou a iniciativa de criar a CVE Foundation.
Ainda não foram divulgados detalhes específicos sobre a fundação, mas é esperado que ela busque por contribuições para manter a operacionalidade da base de dados.
O que significa CVE?
CVE é a sigla para Common Vulnerabilities and Exposures, uma base de dados que cataloga falhas de cibersegurança já identificadas.
Por meio desse sistema, cada vulnerabilidade detectada é associada a um identificador único.
Se você acompanha as atualizações sobre cibersegurança, possivelmente já viu menções a um código composto por “CVE”, seguido pelo ano e alguns dígitos adicionais.
Esse código é fundamental para evitar confusões entre os profissionais da área, possibilitando uma comunicação clara sobre qual falha está sendo discutida, além de facilitar a coordenação de correções, o compartilhamento de informações e a divulgação de recomendações de segurança.
A Mitre também é responsável pelo CWE (Common Weakness Enumeration), que compreende uma lista de vulnerabilidades comuns em software e hardware.
Quem financia o CVE?
O financiamento para o CVE vem do Departamento de Segurança Interna (DHS), através da Agência de Cibersegurança e Segurança de Infraestrutura (CISA).
A demora na renovação do contrato com a Mitre não foi esclarecida, mas, conforme a Reuters, o governo de Donald Trump tem promovido cortes de despesas, seguindo diretrizes do Departamento de Eficiência Governamental (DOGE), liderado por Elon Musk.
Publicidade
Conheça a Solyd One, e tenha acesso a todos os cursos de segurança ofensiva da Solyd, todas as certificações práticas, incluindo a SYCP, 2 CTFs anuais com prêmios de até 30 mil reais, dezenas de laboratórios realísticos, suporte, comunidade e muito mais. Saiba mais...