Financiamento do Governo dos EUA para o Programa de Segurança Cibernética CVE Prestes a Expirar

O programa Common Vulnerabilities and Exposures (CVE) enfrenta um futuro incerto, pois o governo dos EUA não renovou seu contrato para apoiar a iniciativa através da organização sem fins lucrativos MITRE, e ele expira hoje, 16 de abril. Especialistas em cibersegurança agora estão alertando sobre possíveis consequências de segurança global.

O programa CVE, lançado em 1999, foi projetado para desenvolver um sistema de ID e ajudar engenheiros e organizações a identificar, aplicar patches e mitigar vulnerabilidades em todo o mundo. Considerando um código que começa com as letras “CVE” seguido pelo ano e um número único – como CVE-2024-50050 encontrado no Framework de IA da Meta ou a vulnerabilidade zero-day do Chrome CVE-2025-2783 identificada há algumas semanas – o programa organiza e mantém controle das vulnerabilidades globais.

A Corporação MITRE vem mantendo e operando o sistema CVE desde sua fundação e tem recebido consistentemente apoio financeiro do Departamento de Segurança Interna (DHS) e da Agência de Segurança Cibernética e Infraestrutura (CISA) nos últimos 25 anos.

Uma carta interna enviada por Yosry Barsoum, vice-presidente e diretor do Centro para a Segurança da Pátria (CHS) na MITRE, aos membros do conselho do CVE, foi vazada e compartilhada publicamente no Bluesky.

“Queremos alertá-lo sobre um importante problema potencial com o apoio contínuo do MITRE ao CVE”, diz o documento. “Na quarta-feira, 16 de abril de 2025, o atual caminho de contratação para o MITRE desenvolver, operar e modernizar o CVE e vários outros programas relacionados, como o CWE, expirará.”

The Verge confirmou a informação divulgada na plataforma de mídia social e entrou em contato com Barsoum, que garantiu que o governo está fazendo esforços para continuar apoiando o MITRE, e que, enquanto isso, o programa Common Weakness Enumeration (CWE) – que se concentra em vulnerabilidades de software e hardware – também será afetado.

A pesquisadora de cibersegurança Lukasz Olejnik compartilhou suas preocupações sobre o X. “A administração Trump efetivamente (pelo menos temporariamente) irá incapacitar o sistema global de cibersegurança”, escreveu ela em uma postagem. “A consequência será uma quebra na coordenação entre fornecedores, analistas e sistemas de defesa – ninguém terá certeza de que estão se referindo à mesma vulnerabilidade. Caos total e um enfraquecimento repentino da cibersegurança em geral.”

Ao cortar o que equivale a custos irrisórios, a administração Trump efetivamente (pelo menos temporariamente) incapacitará o sistema global de segurança cibernética — CVE. O que é o CVE? É um sistema global para identificar e rastrear vulnerabilidades que tem servido como uma linguagem comum para… pic.twitter.com/WBCdLz0DdT

— Lukasz Olejnik (@lukOlejnik) 15 de abril de 2025

Outros especialistas e organizações, incluindo a MITRE, esperam encontrar outras fontes de financiamento e alternativas para que o programa CVE continue seu serviço e operações regularmente.