Um dos mais importantes projetos mundiais de cibersegurança correu o risco de ficar sem o financiamento dos Estados Unidos. A Fundação MITRE, responsável pela iniciativa, informou nos últimos dias que o prazo para renovação do contrato se encerraria nesta quarta-feira (16).
O governo federal, inicialmente, deu a entender que não entraria com mais recursos, mas a situação foi resolvida ao longo do dia.
Com isso, toda a comunidade de defesa cibernética poderá contar com o projeto de Common Vulnerabilities and Exposures, normalmente mencionado pela sigla CVE. A renovação tem validade de 11 meses.
O vice-presidente da Fundação MITRE, Yosry Barsoum, advertiu ontem (15) que o fim da parceria seria um “desastre”. Ele tem razão: a base de dados CVE é um dos mais importantes pilares da segurança digital no planeta. Por meio dela, especialistas do setor conseguem reportar e acompanhar falhas, brechas e problemas cibernéticos.
É comum, por exemplo, que empresas do porte de Microsoft comuniquem novos incidentes do sistema Windows por meio da nomenclatura. A vulnerabilidade CVE-2025-24993 foi identificada neste ano e se refere a uma falha crítica no sistema de arquivos NTFS. Por meio deste código, especialistas podem conversar, buscar soluções e aplicar correções de software.
O CVE é adotado ainda por Google, Apple, Microsoft, Red Hat, Intel, Cisco, SAP, Oracle, Adobe – ou seja, formou-se uma verdadeira unanimidade em torno da iniciativa, que já perdura 25 anos.
O representante da MITRE advertiu ainda que a interrupção do projeto levaria a uma deterioração de bancos de dados nacionais de vulnerabilidades e comunicados, ferramentas de fornecedores, operações de resposta a incidentes e todo tipo de infraestrutura crítica.
O projeto está para a cibersegurança assim como a Organização Mundial da Saúde está para as vacinas. Ao normatizar nomes como BNT162b2 ou SARS-CoV-2, garante-se que todos os fornecedores e autoridades falem a mesma língua.
Após os desdobramentos, a Agência de Cibersegurança e Segurança de Infraestruturas (CISA) dos EUA declarou que o CVE “é indispensável para a comunidade cibernética”, além de ser uma prioridade do governo.
“Na noite passada, a CISA executou o período de opção no contrato para garantir que não haja interrupção nos serviços críticos do CVE. Agradecemos a paciência de nossos parceiros e partes interessadas.”