O sistema NVD da agência governamental norte-americana NIST nunca recuperou totalmente do atraso que se iniciou em fevereiro de 2024. Em meados de 2024, 75 % das CVE submetidas estavam por processar e, em março do ano passado, o NIST admitiu que um aumento de 32 % nas submissões significava que o atraso continuava a aumentar, apesar da sua promessa de o eliminar.
Ainda antes de o atraso se acumular, lançámos Aikido em janeiro de 2024. Considerávamos que já não era sustentável basear-nos apenas em bases de dados de vulnerabilidades. Era um processo moroso e incapaz de acompanhar a realidade da velocidade e do volume da segurança do código aberto.
Ontem, a agência governamental norte-americana NIST admitiu finalmente que não consegue dar resposta ao volume de submissões de CVE.
Apesar de um aumento de 45% nas CVE-s validadas em 2025, o número de CVE-s submetidas aumentou 263%. A agência não tinha como acompanhar esse ritmo. Por isso, a agência teria de adotar uma nova abordagem «baseada no risco» para fazer face à situação.
A nova abordagem dará prioridade aos CVEs relativos a software utilizado pelo governo dos EUA, a software crítico ou àqueles que constam do catálogo de Vulnerabilidades Exploradas Conhecidas (KEV). Outros CVEs serão adicionados ao NVD, mas não serão analisados. Isso significa que não irão atribuir uma pontuação de forma independente a cada CVE. Em vez disso, irão simplesmente aceitar a pontuação do remetente e não irão reanalisar CVEs modificados, a menos que alguém indique que o devem fazer. O crescente atraso passará para «não agendado», o que significa «talvez cheguemos a isso um dia (mas não contem com isso)».
Sem este enriquecimento, os CVEs ficarão menos atualizados e menos fiáveis. Qual será, então, o impacto nas milhares de organizações e profissionais de segurança que confiam no NVD como sua fonte de referência? Se um CVE não for enriquecido pelo NIST, as ferramentas que dependem do NVD não irão apresentar o CVE. As equipas não serão alertadas de que algo foi omitido. E as próprias ferramentas irão produzir falsos negativos.
Resumindo, a cobertura em que confiam já não é completa. E se continuarem a confiar no NVD como fonte de referência, estarão a ter uma falsa sensação de segurança.
De qualquer forma, os CVEs nunca representaram o quadro completo
É claro que o NIST será alvo de escrutínio, mas a realidade é que, mesmo que o NVD funcionasse na perfeição, as equipas não detectariam a maioria das vulnerabilidades reais, porque os CVEs apenas abrangem o que é divulgado.
Os responsáveis pela manutenção — mesmo os dos maiores fornecedores — corrigem problemas de segurança e nunca os comunicam. As bases de dados centralizadas, por si só, não conseguem detetar o que nunca é comunicado.
Foi por isso que lançámos Aikido em janeiro de 2024, semanas antes mesmo de a lista de vulnerabilidades da NVD começar a ser compilada, porque já percebíamos que confiar exclusivamente em bases de dados centralizadas para informar sobre vulnerabilidades era uma estratégia condenada ao fracasso.
A Intel utiliza modelos de linguagem de grande escala (LLMs) treinados especificamente para analisar registos de alterações, notas de lançamento e mensagens de commit em pacotes de código aberto. Quando identifica correções relevantes para a segurança, cruza essa informação com cinco bases de dados de vulnerabilidades. Se não houver qualquer registo de divulgação, os nossos engenheiros de segurança validam a informação e publicam um aviso com um ID Aikido .
Para ilustrar este ponto: no seu primeiro ano, 67% dos pacotes em que a Intel detectou vulnerabilidades nunca foram divulgados publicamente em nenhuma base de dados — nem no NVD, nem no GitHub Advisory, nem no MITRE, nem em lado nenhum.
E não se trata de pacotes obscuros. O Axios (56 milhões de downloads semanais no npm) corrigiu discretamente uma vulnerabilidade de «prototype pollution» que , até hoje, ainda não tem um CVE. O Apache ECharts corrigiu um problema de «cross-site scripting» e nunca o divulgou. O Chainlit corrigiu uma vulnerabilidade crítica de «path traversal» e não disse nada. Entre as que acabaram por ser divulgadas, o tempo médio entre a correção e a atribuição do CVE foi de 27 dias. O prazo mais longo para a divulgação foi de nove meses.
Numa única semana de monitorização da Intel, em janeiro deste ano, 12 das 16 vulnerabilidades identificadas não tinham qualquer CVE atribuído.
Atualmente, o Intel monitoriza 4,3 milhões de pacotes e já identificou mais de 2 000 vulnerabilidades. É um software de código aberto sob a licença AGPL, o que significa que qualquer pessoa pode utilizá-lo, modificá-lo e distribuí-lo. Além disso, não depende de mapeamentos CPE nem do enriquecimento do NVD para funcionar.
Aikido já estava a preencher essa lacuna antes mesmo de ela surgir.
E agora?
A UE já está a desenvolver a sua própria alternativa ao NVD, a Base de Dados Europeia de Vulnerabilidades (EUVD), que está em funcionamento desde maio de 2025. Até setembro de 2026, a comunicação de vulnerabilidades ativamente exploradas tornar-se-á obrigatória para os fabricantes ao abrigo da Lei de Ciber-Resiliência. A UE percebeu o risco de depender de uma única base de dados gerida pelos EUA e, por isso, está a dissociar-se dela. Mas mesmo a EUVD está numa fase inicial e depende fortemente da sincronização com a NVD e outras bases de dados existentes. Estas bases de dados não vão desaparecer, nem devem — desempenham um papel importante. Mas considerar qualquer uma delas como o quadro completo já não é uma estratégia viável.
Resumindo, já não existe uma única fonte de verdade (se é que alguma vez existiu). O NVD está a perder prioridade, o EUVD está ainda na fase inicial, mas pode seguir o mesmo caminho, e outros programas CVE, como o MITRE, têm enfrentado dificuldades de financiamento. Depender de uma única base de dados, seja como equipa ou para uma ferramenta de segurança, significa ter menos cobertura e visibilidade. Essa era terminou oficialmente.
Temos vindo a preparar-nos para este momento. Aikido já está disponível, é de código aberto e está a expandir-se. Confira aqui.
