Resumo
- O NIST anunciou redução de análises de vulnerabilidades do programa Common Vulnerabilities and Exposures (CVE), com “enriquecimento” apenas para CVEs que atendam critérios específicos.
- O órgão fará análises detalhadas quando a CVE estiver no catálogo KEV da CISA, afetar softwares usados pelo governo federal dos EUA e estiver relacionada a softwares críticos.
- Segundo o instituto, houve um aumento de 263% nas descobertas entre 2020 e 2025, o que gerou sobrecarga nos trabalhos.
O Instituto Nacional de Padrões e Tecnologia dos Estados Unidos (NIST, na sigla em inglês) anunciou que limitará as análises que atualmente executa em vulnerabilidades de cibersegurança. Esse trabalho faz parte do programa Common Vulnerabilities and Exposures (CVE).
Com a nova política, nem todas as vulnerabilidades listadas no CVE receberão o que a agência chama de “enriquecimento”, isto é, uma análise detalhada, que inclui notas de gravidade para as brechas encontradas.
O que vai mudar?
De acordo com um comunicado publicado na quarta-feira (15/04), o NIST só fará análises detalhadas de vulnerabilidades que atendam a certos critérios, como:
- inclusão no catálogo de vulnerabilidades conhecidas e exploradas (KEV) da Agência de Cibersegurança e Segurança de Infraestrutura (CISA)
- presença em softwares usados pelo governo federal dos EUA
- presença em softwares críticos
Além disso, o NIST continuará a listar todas as vulnerabilidades descobertas em sua Base Nacional de Dados de Vulnerabilidades (NVD).
Por que o NIST vai mudar sua política?
Como explica o site Cybersecurity Dive, ferramentas de inteligência artificial para detectar vulnerabilidades criaram uma onda gigante de descoberta de falhas — de acordo com o NIST, foi um crescimento de 263% entre 2020 e 2025. Com isso, instituições que mantêm bases de dados desse tipo passaram a ficar sobrecarregadas.
Foi o que aconteceu com o NIST. O órgão não vem conseguindo acompanhar o volume de vulnerabilidades nos últimos anos, levando-o a repensar sua abordagem.
“Isso nos permitirá focar nas CVEs com maior potencial para impacto generalizado”, explica o instituto. “Embora CVEs que não atendam a esses critérios tenham um impacto significativo nos sistemas afetados, elas geralmente não apresentam o mesmo nível de risco sistêmico do que as que estão nas categorias priorizadas.”
O que é o CVE?
CVE é a sigla para Common Vulnerabilities and Exposures, ou “vulnerabilidades e exposições comuns”, em tradução livre. Trata-se de uma base de dados de falhas de cibersegurança identificadas.
Geralmente, quando escrevemos sobre vulnerabilidades, listamos um código composto por CVE, o ano e mais alguns dígitos. Esse é um identificador daquele problema específico, e serve para evitar confusões entre profissionais do setor.
Esse não é o primeiro abalo na base de dados CVE nos últimos anos. Em abril de 2025, o projeto quase ficou sem verbas diante da demora da CISA em renovar o contrato com a organização sem fins lucrativos Mitre, que administra a base de dados.
Com informações do Cybersecurity Dive
Órgão americano vai reduzir análises de vulnerabilidades de cibersegurança
