Em uma corrida de última hora antes que um contrato-chave estivesse prestes a expirar na noite de terça-feira, a Agência de Cibersegurança e Segurança de Infraestrutura dos Estados Unidos renovou seu financiamento para o projeto de rastreamento de vulnerabilidades de software conhecido como Programa de Exposições e Vulnerabilidades Comuns (CVE). Gerenciado pelo grupo de pesquisa e desenvolvimento sem fins lucrativos MITRE, o Programa CVE é uma peça fundamental da cibersegurança global—providenciando dados e serviços críticos para defesa digital e pesquisa.
O Programa CVE é governado por um conselho que estabelece uma agenda e prioridades para o MITRE realizar usando o financiamento da CISA. Um porta-voz da CISA disse na quarta-feira que o contrato com o MITRE está sendo estendido por 11 meses. “O Programa CVE é inestimável para a comunidade cibernética e uma prioridade da CISA”, disseram em um comunicado. “Na noite passada, a CISA executou o período de opção do contrato para garantir que não haja interrupção nos serviços críticos do CVE. Agradecemos a paciência de nossos parceiros e partes interessadas.”
O vice-presidente do MITRE e diretor do Centro para a Segurança da Pátria, Yosry Barsoum, disse em um comunicado na quarta-feira que, “a CISA identificou financiamento incremental para manter os Programas operacionais.” Com o tempo se esgotando antes que essa decisão fosse divulgada, alguns membros do conselho do Programa CVE anunciaram um plano para transitar o projeto para uma nova entidade sem fins lucrativos chamada Fundação CVE.
“Desde sua criação, o Programa CVE funcionou como uma iniciativa financiada pelo governo dos EUA, com supervisão e gestão fornecidas sob contrato. Embora essa estrutura tenha apoiado o crescimento do programa, também levantou preocupações de longa data entre os membros do Conselho CVE sobre a sustentabilidade e neutralidade de um recurso amplamente dependente atrelado a um único patrocinador governamental”, escreveu a Fundação em um comunicado. “Essa preocupação tornou-se urgente após uma carta de 15 de abril de 2025 do MITRE notificando o Conselho CVE de que o governo dos EUA não pretende renovar seu contrato para gerenciar o programa. Embora esperássemos que esse dia não chegasse, estávamos nos preparando para essa possibilidade.”
Não está claro quem do atual conselho CVE está afiliado à nova iniciativa, exceto Kent Landfield, um membro de longa data da indústria de cibersegurança que foi citado na declaração da Fundação CVE. A Fundação CVE não retornou imediatamente um pedido de comentário.
A CISA não respondeu a perguntas da WIRED sobre por que o futuro do contrato do Programa CVE estava em questão e se isso estava relacionado a cortes orçamentários recentes que varrem o governo federal conforme exigido pela administração Trump.
Pesquisadores e profissionais de cibersegurança ficaram aliviados na quarta-feira ao saber que o Programa CVE não havia cessado de existir repentinamente como resultado da instabilidade sem precedentes no financiamento federal dos EUA. E muitos observadores expressaram otimismo cauteloso de que o incidente poderia, em última análise, tornar o Programa CVE mais resiliente se ele transitar para se tornar uma entidade independente que não depende do financiamento de nenhum governo ou outra fonte única.
“O Programa CVE é crítico e é do interesse de todos que ele tenha sucesso”, diz Patrick Garrity, um pesquisador de segurança da VulnCheck. “Quase toda organização e toda ferramenta de segurança depende dessas informações e não é apenas nos EUA, é consumido globalmente. Portanto, é realmente, realmente importante que continue sendo um serviço fornecido pela comunidade e precisamos descobrir o que fazer sobre isso porque perdê-lo seria um risco para todos.”
Registros de compras federais indicam que custa dezenas de milhões de dólares por contrato para operar o Programa CVE. Mas, no esquema das perdas que podem ocorrer a partir de um único ataque cibernético explorando vulnerabilidades de software não corrigidas, especialistas dizem à WIRED que os custos operacionais parecem insignificantes em comparação com o benefício apenas para a defesa dos EUA.
Apesar do financiamento de última hora da CISA, o futuro do Programa CVE ainda é incerto a longo prazo. Como uma fonte, que pediu anonimato porque é um contratante federal, colocou: “É tudo tão estúpido e perigoso.”