Por que isso importa: Os artigos deste site que cobrem vulnerabilidades de software normalmente incluem códigos CVE, que as empresas de tecnologia usam em todo o mundo para identificar ameaças de segurança cibernética. O financiamento para o programa que gerencia o banco de dados CVE quase expirou nesta semana, potencialmente colocando em risco os esforços globais de coordenação de segurança cibernética. Embora a crise tenha sido evitada no último minuto, a comunidade de segurança cibernética começou a tomar medidas para evitar uma repetição.
O Departamento de Segurança Interna dos EUA estendeu o financiamento para o programa Common Vulnerabilidades e Exposições (CVE), que deveria expirar na quarta -feira. Os especialistas alertam que o programa é fundamental para os esforços mundiais de segurança cibernética.
Os códigos CVE fornecem um sistema padronizado que permite que empresas de tecnologia, pesquisadores e hackers identifiquem e abordem vulnerabilidades. Por exemplo, páginas de consultoria de segurança da Apple, Microsoft, Mozilla e outras empresas usam o sistema para rotular problemas. Embora entidades em todo o mundo dependam de códigos CVE para garantir que eles estejam discutindo as mesmas vulnerabilidades, depende de um programa financiado pelo governo operado pela Miter Corporation.
QUEBRA. De uma fonte confiável. O suporte ao Mitre para o programa CVE deve expirar amanhã. A carta em anexo foi enviada aos membros do conselho da CVE.
[image or embed]
– Tib3rius (@tib3rius.bsky.social) 15 de abril de 2025 às 13:23
Yosry Barsoum, vice-presidente e diretor do Centro de Administração da Pátria, enviou um memorando alertando os membros do conselho da CVE de que o financiamento estava programado para expirar em 16 de abril. Por que o DHS quase permitiu que o financiamento da CVE não é claro, mas o incidente ocorreu em meio à campanha de corte de custo do governo do governo Trump.
Especialistas levantaram rapidamente alarmes, destacando a importância da CVE. Jen Easterly, ex -diretor da Agência de Segurança de Segurança Cibernética e Infraestrutura dos EUA (CISA), chamou CVE de Dewey Decimal System de segurança cibernética. Ela explicou que seu lapso diminuiria os esforços globais de coordenação de segurança cibernética, porque diferentes organizações podem perder tempo refazendo os passos um do outro. Essa situação pode enfraquecer as respostas a novas ameaças e dar uma vantagem aos atacantes.
Na quarta-feira, um grupo de membros do conselho da CVE estabeleceu a Fundação CVE, uma organização sem fins lucrativos separada focada apenas na manutenção do banco de dados CVE, caso o financiamento de Mitre expirasse. A medida segue mais de um ano de planejamento, e a Fundação deve divulgar mais informações sobre seus esforços nos próximos dias. Os grupos europeus de segurança cibernética também estabeleceram recentemente o banco de dados de vulnerabilidades da União Europeia, que inclui códigos CVE e um novo sistema de IDs que carregam o rótulo EUVD.
Embora o financiamento do DHS tenha retomado, a extensão dura apenas 11 meses, e a probabilidade de uma renovação em março de 2026 não é clara. O financiamento também afeta o programa de enumeração de fraqueza comum (CWE).
