Em uma corrida contra o tempo antes da expiração de um contrato-chave na noite de terça-feira, a Agência de Segurança Cibernética e Infraestrutura dos Estados Unidos renovou seu financiamento para o antigo projeto de rastreamento de vulnerabilidades de software conhecido como Programa Comum de Vulnerabilidades e Exposições. Gerenciado pelo grupo de pesquisa e desenvolvimento sem fins lucrativos MITRE, o Programa CVE é um pilar da segurança cibernética global, fornecendo dados e serviços críticos para defesa digital e pesquisa.
O Programa CVE é governado por um conselho que estabelece uma agenda e prioridades para o MITRE executar usando o financiamento da CISA. Um porta-voz da CISA disse na quarta-feira que o contrato com o MITRE está sendo estendido por 11 meses. “O Programa CVE é inestimável para a comunidade cibernética e uma prioridade da CISA”, afirmaram em comunicado. “Na noite passada, a CISA executou o período de opção no contrato para garantir que não haja interrupção nos serviços críticos do CVE. Agradecemos a paciência de nossos parceiros e partes interessadas.”
O vice-presidente e diretor do Centro de Segurança da Pátria da MITRE, Yosry Barsoum, declarou em comunicado na quarta-feira que “a CISA identificou financiamento incremental para manter os Programas operacionais”. Com o tempo se esgotando antes dessa decisão ser tomada, no entanto, alguns membros do conselho do Programa CVE anunciaram um plano para transicionar o projeto para uma nova entidade sem fins lucrativos chamada Fundação CVE.
“Desde o seu início, o Programa CVE tem operado como uma iniciativa financiada pelo governo dos EUA, com supervisão e gestão fornecidas sob contrato. Embora essa estrutura tenha sustentado o crescimento do programa, também levantou preocupações de longa data entre os membros do conselho do CVE sobre a sustentabilidade e neutralidade de um recurso globalmente confiável estar ligado a um único patrocinador do governo”, escreveu a Fundação em comunicado. “Essa preocupação se tornou urgente após uma carta de 15 de abril de 2025 do MITRE notificando o conselho do CVE de que o governo dos EUA não pretende renovar seu contrato para gerenciar o programa. Embora esperássemos que esse dia não chegasse, estávamos nos preparando para essa possibilidade.”
Não está claro quem do atual conselho CVE está afiliado à nova iniciativa além de Kent Landfield, um membro antigo da indústria de cibersegurança citado no comunicado da Fundação CVE. A Fundação CVE não retornou imediatamente a um pedido de comentário.
A CISA não respondeu às perguntas da WIRED sobre por que o destino do contrato do Programa CVE estava em questão e se estava relacionado aos recentes cortes orçamentários que assolam o governo federal, conforme exigido pela administração Trump.
Pesquisadores e profissionais de cibersegurança ficaram aliviados na quarta-feira ao saber que o Programa CVE não havia deixado de existir repentinamente como resultado da instabilidade sem precedentes no financiamento federal dos EUA. E muitos observadores expressaram otimismo cauteloso de que o incidente poderia, em última análise, tornar o Programa CVE mais resiliente se fizesse a transição para ser uma entidade independente que não depende de financiamento de nenhum governo ou outra fonte única.
“O Programa CVE é crucial, e é do interesse de todos que tenha sucesso”, diz Patrick Garrity, pesquisador de segurança da VulnCheck. “Quase toda organização e cada ferramenta de segurança dependem dessas informações, e não é apenas os EUA. É consumido globalmente. Portanto, é realmente importante que continue sendo um serviço fornecido pela comunidade, e precisamos descobrir o que fazer a respeito, porque perdê-lo representaria um risco para todos.”
Registros de aquisições federais indicam que custa dezenas de milhões de dólares por contrato para operar o Programa CVE. Mas no esquema das perdas que podem ocorrer a partir de um único ciberataque explorando vulnerabilidades de software não corrigidas, especialistas dizem à WIRED que os custos operacionais parecem insignificantes em comparação com o benefício para a defesa dos EUA sozinho.
Apesar do financiamento de última hora da CISA, o futuro do Programa CVE ainda é incerto a longo prazo. Como uma fonte, que pediu anonimato por ser um contratante federal, colocou: “Tudo é tão estúpido e perigoso.”
