EUA cortam verba do CVE, programa que cataloga falhas de cibersegurança
Projeto cria códigos de identificação para vulnerabilidades, facilitando o trabalho de empresas e profissionais para corrigir problemas EUA cortam verba do CVE, programa que cataloga falhas de cibersegurança
A organização sem fins lucrativos Mitre revelou que seu contrato com o governo americano para operar a base de dados CVE vence nesta quarta-feira (16/04) e, até o momento, não foi renovado. Sem o financiamento dos EUA, o projeto corre riscos.
“O governo segue fazendo esforços consideráveis para manter o papel da Mitre no apoio ao programa”, disse o presidente da organização, Yorsy Barsoum, em uma carta enviada a membros do conselho.
“Caso ocorra uma interrupção no serviço, podemos esperar múltiplos impactos ao CVE, como a deterioração do setor nacional de vulnerabilidades, incluindo bases de dados, recomendações, fornecedores de ferramentas, operações de resposta a incidentes e todas as formas de infraestrutura crucial”, alerta Barsoum.
Com a perspectiva de não contar mais com o financiamento americano, a Mitre anunciou a criação da CVE Foundation. Até o momento, não foram divulgados detalhes da iniciativa, mas é provável que a fundação busque doações para manter as operações da base de dados.
O que é o CVE?
CVE é a sigla para Common Vulnerabilities and Exposures, ou “vulnerabilidades e exposições comuns”, em tradução livre. Trata-se de uma base de dados de falhas de cibersegurança identificadas.
Graças ao projeto, cada problema descoberto recebe um identificador. Se você acompanha as notícias do Tecnoblog sobre cibersegurança, talvez tenha notado que mencionamos um código composto por “CVE”, o ano e mais alguns dígitos.
Esse código evita confusões entre profissionais do setor e permite que eles saibam se estão falando da mesma falha ou de falhas diferentes. Isso ajuda a coordenar correções, compartilhar informações e recomendar procedimentos de segurança.
A organização Mitre mantém também o CWE (Common Weakness Enumeration), que lista pontos vulneráveis de software e hardware.
Quem financia o CVE?
As verbas do CVE vêm do Departamento de Segurança Interna (DHS, na sigla em inglês), por meio da Agência de Cibersegurança e Segurança de Infraestrutura (CISA).
Em resposta enviada ao Bleeping Computer, um porta-voz da CISA disse que a agência está “trabalhando com urgência para mitigar impactos e manter os serviços do CVE”.
Não se sabe exatamente o motivo da não renovação do contrato com a Mitre, mas, como lembra a Reuters, o governo de Donald Trump está promovendo cortes de gastos, sob ordens do Departamento de Eficiência Governamental (DOGE), comandado por Elon Musk.
Com informações do Bleeping Computer e da Reuters
EUA cortam verba do CVE, programa que cataloga falhas de cibersegurança
