Até o finalzinho do ano de 1999, o processo de registrar e acompanhar o conserto de bugs em software era algo um tanto caótico. Existiam diferentes ferramentas para tal tarefa, sendo que cada uma trabalhava com um banco de dados distinto e era usado por uma parcela de empresas. Foi daí que surgiu a ideia de elaborar uma plataforma universal e global para catalogar vulnerabilidades públicas — nascia então a Common Vulnerabilities and Exposures, mais conhecido pela sigla CVE.
Criado pela Mitre Corporation, o sistema CVE atribui um identificador numérico único para cada bug recebido e confirmado por uma Autoridade de Numeração de CVE (CVE Numbering Authority ou CNA), sendo que o ID sempre vai seguir a estrutura “ano-código sequencial”. No caso, a primeira vulnerabilidade publicada no CVE — identificada como 1999-0001 — foi ao ar há 20 anos e dizia respeito a um problema detectado em certas implementações do protocolo TCP/IP.
De lá pra cá, já são mais de 125 mil vulnerabilidades catalogadas e 104 organizações certificadas como CNAs (a maioria delas são empresas comerciais, como a Adobe, a Apple e a Cisco; porém, também temos institutos de pesquisas e até mesmo plataformas de bug bounty). A cada ano, cerca de 10 mil novos bugs são reportados e catalogados pelo projeto, que não possui fins lucrativos e deu origem a sistemas derivados, incluindo o Banco de Dados Nacional de Vulnerabilidades (National Vulnerability Database ou NVD) dos EUA.
Com o aumento exponencial no número de problemas de segurança cibernética, o CVE vem se tornando uma ferramenta cada vez mais preciosa para garantir a proteção de dados pessoais dos internautas — imagina como seria difícil acompanhar a resolução de falhas críticas como a Spectre e a Meltdown, por exemplo, se cada empresa ainda usasse métodos proprietários e privados para catalogar bugs?
- Leia mais notícias sobre Curiosidades.
Fonte: Naked Security, CVE