EUA corta investimento em uma das plataformas de segurança mais importantes do mundo

O programa de segurança Common Vulnerabilities and Exposures (CVE) teve seu financiamento federal suspenso nesta quarta-feira (16). A organização sem fins lucrativos MITRE Corporation anunciou que o acordo com o governo dos Estados Unidos expirou, colocando em risco a disponibilidade da plataforma. Felizmente, a Agência de Segurança Cibernética e de Infraestrutura (CISA, na sigla em inglês) restabeleceu o fundo de investimento pouco tempo depois.

“Na quarta-feira, 16 de abril de 2025, o atual contrato que viabiliza o desenvolvimento, a operação e a modernização do CVE e de outros programas relacionados pela MITRE, como o CWE, expirará”, informou a MITRE. “Caso ocorra uma interrupção no serviço, prevemos múltiplos impactos ao CVE, incluindo a deterioração de bancos de dados e alertas nacionais de vulnerabilidades, fornecedores de ferramentas, operações de resposta a incidentes e todos os tipos de infraestrutura crítica”, continuou a nota.

• Leia também: 4Chan: fórum é hackeado e dados de usuários podem ter vazado

O CVE é uma das plataformas mais importantes no universo da segurança cibernética, sendo responsável por identificar, catalogar e descrever vulnerabilidades e brechas de segurança. O projeto adota um formato de fácil rastreabilidade, com o prefixo “CVE” seguido do ano de descoberta da falha e um número serial correspondente.

Empresas do mundo inteiro — inclusive gigantes como Google, Apple e Microsoft — se beneficiam das identificações oferecidas pelo CVE. Por meio desses registros, é possível documentar brechas recém-descobertas e facilitar a comunicação com pesquisadores da área.

O TecMundo também utiliza frequentemente o projeto CVE, principalmente em reportagens relacionadas à cibersegurança. O ranqueamento e a avaliação de risco associados a cada falha permitem à redação compreender a gravidade do achado, contribuindo para uma cobertura mais precisa.

O projeto CVE é mantido pela MITRE Corporation, uma associação sem fins lucrativos dos Estados Unidos, mas também está sob o guarda-chuva do Departamento de Segurança Interna dos EUA.

CVE declarou independência

Logo após o anúncio da MITRE, membros do conselho revelaram a criação da CVE Foundation, uma organização sem fins lucrativos dedicada exclusivamente à manutenção das atividades do programa.

“Desde sua criação, o Programa CVE operou como uma iniciativa financiada pelo governo dos Estados Unidos, com supervisão e gestão fornecidas por contrato”, declarou a nova entidade. “Embora essa estrutura tenha apoiado o crescimento do programa, ela também levantou preocupações de longa data entre os membros do Conselho do CVE quanto à sustentabilidade e à neutralidade de um recurso globalmente confiável estar vinculado a um único patrocinador governamental”, concluiu.

• Confira: Fórum cibercrimoso é derrubado e dono pode ter sido preso

Segundo a CVE Foundation, é planejada uma transição para corrigir esse ponto crítico no ecossistema de gerenciamento de vulnerabilidades digitais desde o ano passado. Os detalhes desse processo, no entanto, ainda serão divulgados.

Apoio financeiro foi restabelecido

Pouco depois, a agência americana CISA anunciou que continuará a financiar a agora independente CVE Foundation. Informações adicionais sobre essa nova parceria ainda não foram reveladas.

Quer continuar por dentro das atualizações mais importantes do universo da cibersegurança? Siga o TecMundo nas redes sociais e acompanhe nossa cobertura completa sobre tecnologia, segurança digital e inovação.