Um grupo de 50 profissionais de segurança cibernética assinou uma carta aberta que foi enviada em 12 de abril à Secretária de Comércio dos EUA, Gina Raimondo, e a vários membros do Congresso dos EUA.
A carta é intitulada Uma crise de segurança cibernética à espera: Sobre a necessidade de restaurar e aprimorar as operações com o banco de dados nacional de vulnerabilidades.
No documento, os signatários instam o Congresso a investigar as questões em curso com o NVD, ajudar o Instituto Nacional de Padrões e Tecnologia dos EUA (NIST) a restaurar o enriquecimento de vulnerabilidade e apoiar o Instituto na modernização do programa NVD.
No início de março, pesquisadores de segurança notaram uma queda significativa nos uploads de dados de enriquecimento de vulnerabilidades no site do NVD. A queda começou em meados de fevereiro.
Embora as entradas de vulnerabilidade (conhecidas como Vulnerabilidades e Exposições Comuns, ou CVEs) continuassem a ser adicionadas ao banco de dados, muitas não foram totalmente analisadas.
Isto significou que metadados cruciais sobre CVEs, como as correspondentes Fraquezas e Exposições Comuns (CWEs), Enumeradores de Produtos Comuns (CPEs) e pontuações de criticidade (CVSS), não foram adicionados ao banco de dados.
De acordo com seus próprios dados , o NIST analisou apenas 4.398 dos 10.826 CVEs recebidos até agora neste ano.
Os problemas parecem advir da falta de recursos, incluindo financiamento e recursos humanos.
No final de março, o NIST lançou um consórcio industrial para apoiá-los na gestão e financiamento do programa NVD no futuro.
Os signatários da carta aberta argumentaram que a prioridade deveria ser resolver o atual atraso no NVD.
Como o NVD é o banco de dados de vulnerabilidades mais abrangente do mundo, muitas empresas dependem dele para implantar atualizações e patches.
Se esses problemas não forem resolvidos rapidamente, poderão impactar significativamente a comunidade de pesquisadores de segurança e as organizações em todo o mundo.
Os autores sugeriram que somente quando isso for feito o NIST e o Consórcio NVD deveriam se concentrar na reorganização das divulgações de vulnerabilidades e dos processos de gerenciamento dentro do programa NVD.
Por enquanto, os signatários instam o Congresso a apoiar o NIST em três ações imediatas:
Para atingir esses objetivos, os signatários sugeriram diversas recomendações, incluindo:
Os signatários da carta aberta são indivíduos que trabalham no cenário de segurança, incluindo gigantes da tecnologia como Google, organizações de código aberto como OpenSSF e fornecedores de segurança como Chainguard, VulnCheck e Okta.
Grupo O-UNC-066/Pink combina chamadas telefônicas com páginas falsas do Entra ID para enrolar passkeys controlados…
CISA detalha resposta a incidente em que credenciais AWS GovCloud e código de infraestrutura interno…
Zimbra emite alerta crítico após identificar vulnerabilidade stored XSS no Classic Web Client que permite…
ANPD divulga 1º Relatório Parcial do Sandbox Regulatório de IA: Metatext, Synapse AI e Prevvine…
Grok 4.5 chega com foco em código e agentes: 15.954 tokens médios em SWE-Bench Pro…
Qualcomm anuncia compra da Modular por ~US$ 3,9 bi para desafiar CUDA da NVIDIA com…