O programa Common Vulnerabilities and Exposures (CVE) é uma das principais ferramentas usadas por empresas, governos e profissionais de cibersegurança para identificar e gerenciar falhas de segurança em softwares. Cada vulnerabilidade pública recebe um identificador único (CVE ID), facilitando o rastreamento, a comunicação e a resposta rápida a ameaças. Com mais de 274 mil registros desde 1999, o CVE se tornou uma infraestrutura essencial para a segurança digital global.

Nesta quarta-feira (16), o financiamento do governo dos EUA para que o MITRE opere e mantenha o programa será encerrado, uma situação inédita que pode comprometer seriamente a continuidade do sistema. Segundo Yosry Barsoum, vice-presidente da MITRE, a verba também cobre o funcionamento de iniciativas associadas, como o Common Weakness Enumeration (CWE), crucial para classificar e priorizar falhas em código.

Barsoum alerta que uma interrupção afetaria bancos de dados nacionais de vulnerabilidades, ferramentas de segurança, operações de resposta a incidentes e até serviços de infraestrutura crítica. Apesar disso, o governo ainda tenta encontrar soluções para manter o apoio ao programa, enquanto a MITRE reafirma seu compromisso com o CVE como recurso global.

Como medida preventiva, a empresa de cibersegurança VulnCheck, uma das Autoridades de Numeração de CVEs (CNA) anunciou a reserva antecipada de mil identificadores para 2025, tentando minimizar os impactos da possível paralisação.

Especialistas de cibersegurança destacam que o CVE não é apenas uma base de dados, mas uma peça central na coordenação e resposta a ameaças. A paralisação pode atrasar divulgações de vulnerabilidades, prejudicar práticas de codificação segura e comprometer a proteção de redes públicas e privadas.