A Apple, como outras empresas de tecnologia, depende do programa Common Vulnerability Exposure (CVE) para identificar e rastrear vulnerabilidades de segurança em seu software. Com o corte abrupto do financiamento para CVE pelo governo federal, este recurso crítico de segurança cibernética enfrenta agora um futuro incerto.
Em resposta à crise, uma coligação liderada por membros de longa data do conselho de administração da CVE anunciou hoje a criação da Fundação CVE, uma organização sem fins lucrativos dedicada a garantir o funcionamento contínuo dos sistemas de identificação de vulnerabilidades.
“A importância da CVE como pedra angular do ecossistema global de segurança cibernética não pode ser subestimada”, disse Kent Landfield, funcionário da fundação recém-formada. "CVEs em todo o mundo dependem de identificadores e dados CVE em seu trabalho diário, desde ferramentas e avisos de segurança até inteligência e resposta a ameaças. Sem CVEs, os defensores estariam extremamente em desvantagem em seus esforços para combater ameaças cibernéticas globais."
O programa CVE fornece um sistema padronizado para identificar e classificar vulnerabilidades de segurança em todos os softwares e hardwares, incluindo macOS, iOS, iPadOS da Apple e outros produtos. Quando os pesquisadores de segurança descobrem uma vulnerabilidade, eles recebem um identificador CVE exclusivo para que empresas como a Apple possam coordenar patches e atualizações.
O MITRE é contratado pelo Departamento de Segurança Interna dos EUA para gerenciar o projeto. A empresa confirmou que o financiamento governamental expirou em 16 de abril. Segundo a Reuters, o término do programa pode estar relacionado às demissões em grande escala em curso no governo federal, que são causadas em parte pelo Departamento de Eficácia Governamental (DOGE). A Agência de Segurança Cibernética e de Infraestrutura dos EUA (CISA), que foi afetada pelas demissões, disse que estava “trabalhando urgentemente para mitigar o impacto”, já que a súbita lacuna de financiamento poderia perturbar a gestão global da vulnerabilidade.
Especialistas em segurança alertaram que sem o CVE, os esforços de segurança cibernética enfrentariam um “caos completo”, pois uma linguagem comum para comunicar vulnerabilidades desapareceria efetivamente. Um pesquisador comparou isso a “excluir repentinamente todos os dicionários”.
A recém-formada Fundação CVE pretende transformar o projeto num modelo dedicado sem fins lucrativos que não dependa de financiamento governamental único. Os organizadores da fundação revelaram que estão se preparando para essa possibilidade desde o ano passado.
“Para a comunidade internacional de segurança cibernética, esta medida representa uma oportunidade para estabelecer mecanismos de governação que reflitam a natureza global do cenário de ameaças atual”, afirmou a fundação no anúncio.
Os cortes de financiamento também afetam o programa Common Weakness Enumeration (CWE), que ajuda empresas como a Apple a descobrir possíveis problemas de segurança antes que se tornem vulnerabilidades.
A Fundação CVE deverá anunciar mais detalhes sobre sua estrutura e planos de financiamento nos próximos dias. A Apple e outras grandes empresas tecnológicas provavelmente desempenharão um papel importante no seu apoio como um componente crítico da infraestrutura de segurança cibernética.