Contrato de financiamento do Governo dos EUA para programa CVE não é renovado

O programa CVE é responsável por catalogar falhas de segurança em produtos e supervisionar a atribuição e organização dos identificadores únicos dessas vulnerabilidades, como o CVE-2017-0144 (EternalBlue) — brecha explorada pelo ransomware WannaCry em 2017, em um dos maiores ataques cibernéticos globais. O uso desse padrão garante que, ao se referirem a um problema ou correção, todas as partes envolvidas estejam tratando exatamente da mesma vulnerabilidade.

Empresas de todos os portes, desenvolvedores, pesquisadores e o setor público adotam o CVE como principal referência para identificação e resolução de falhas. Quando múltiplas pessoas detectam o mesmo problema, o CVE assegura que todos estejam falando da mesma ocorrência.

Ao identificar uma nova vulnerabilidade, pesquisadores e organizações podem encaminhar o caso a um dos parceiros do programa — atualmente são algumas centenas, distribuídos em 40 países — que avaliam o relatório e, se necessário, atribuem um identificador CVE exclusivo para a falha.

O programa é patrocinado e financiado, em grande parte, pela CISA (Cybersecurity and Infrastructure Security Agency), vinculada ao Departamento de Segurança Interna dos EUA. Apenas no ano passado, mais de 40.000 novos CVEs foram publicados.

Com o corte no financiamento, e caso nenhuma outra entidade assumisse o papel, estima-se que o programa conseguiria operar por, no máximo, mais dois meses.

Atualização 16/04 09:53

Após a repercussão, a CISA anunciou que renovou o contrato de financiamento com a MITRE.

Além disso, membros do conselho do programa CVE criaram o CVE Foundation, para garantir que o programa CVE continue existindo de forma estável, independente e confiável no longo prazo, sem depender exclusivamente do financiamento do governo.