Resumo
- O governo dos EUA renovou o financiamento do CVE, principal base de dados de falhas de cibersegurança.
- O contrato só foi estendido um dia antes do vencimento, o que causou preocupação.
- A Mitre, responsável por operar a base de dados, criou a CVE Foundation para buscar doações e manter o projeto ativo sem depender de verbas públicas.
- De acordo com o presidente da organização, há risco de ataques à infraestrutura do CVE caso o serviço seja interrompido.
A Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos (CISA) vai renovar o contrato com a organização sem fins lucrativos Mitre, que opera a base de dados CVE.
“O programa CVE é de valor inestimável para a comunidade cibernética e uma prioridade para a CISA”, disse um representante da agência ao site Bleeping Computer. “A CISA executou a opção de estender o contrato ontem à noite, para garantir que não haverá falhas nos serviços críticos da CVE”, completou. Segundo a publicação, a extensão de contrato é de 11 meses.
O acordo vencia nesta quarta-feira (16/04), o que levou o presidente da entidade, Yorsy Barsoum, a enviar uma carta a membros do conselho, alertando sobre os riscos de ficar em financiamento.
“Caso ocorra uma interrupção no serviço, podemos esperar múltiplos impactos ao CVE, como a deterioração do setor nacional de vulnerabilidades, incluindo bases de dados, recomendações, fornecedores de ferramentas, operações de resposta a incidentes e todas as formas de infraestrutura crucial”, alertou Barsoum antes da extensão do contrato.
Com a perspectiva de não contar mais com o financiamento americano, a Mitre anunciou a criação da CVE Foundation. Até o momento, não foram divulgados detalhes da iniciativa, mas é provável que a fundação busque doações para manter as operações da base de dados.
O que é o CVE?
CVE é a sigla para Common Vulnerabilities and Exposures, ou “vulnerabilidades e exposições comuns”, em tradução livre. Trata-se de uma base de dados de falhas de cibersegurança identificadas.
Graças ao projeto, cada problema descoberto recebe um identificador. Se você acompanha as notícias do Tecnoblog sobre cibersegurança, talvez tenha notado que mencionamos um código composto por “CVE”, o ano e mais alguns dígitos.
Esse código evita confusões entre profissionais do setor e permite que eles saibam se estão falando da mesma falha ou de falhas diferentes. Isso ajuda a coordenar correções, compartilhar informações e recomendar procedimentos de segurança.
A organização Mitre mantém também o CWE (Common Weakness Enumeration), que lista pontos vulneráveis de software e hardware.
Quem financia o CVE?
As verbas do CVE vêm do Departamento de Segurança Interna (DHS, na sigla em inglês), por meio da Agência de Cibersegurança e Segurança de Infraestrutura (CISA).
Não se sabe exatamente o motivo da demora na renovação do contrato com a Mitre, mas, como lembra a Reuters, o governo de Donald Trump está promovendo cortes de gastos, sob ordens do Departamento de Eficiência Governamental (DOGE), comandado por Elon Musk.
Com informações do Bleeping Computer e da Reuters
Atualizado às 15h com a renovação do contrato.
