Decisão expõe gargalos na curadoria de vulnerabilidades globais
NVD – O Banco de Dados Nacional de Vulnerabilidades dos EUA admitiu, recentemente, que não conseguirá mais enriquecer CVEs publicados antes de março de 2026, consequência direta da escalada de falhas reportadas ao longo dos últimos anos.
- Em resumo: backlog de CVEs cresce além da capacidade e força corte de cobertura histórica.
Volume de CVEs bate recorde e trava o NIST
Segundo Harold Booth, cientista da computação do NIST, o time não acompanha a avalanche de entradas – mais de 28 mil registros só em 2025, de acordo com levantamento da BleepingComputer. O enriquecimento, etapa que agrega dados como vetores CVSS, exploits conhecidos e links de mitigação, agora será priorizado apenas para vulnerabilidades divulgadas a partir de março de 2026.
“O time responsável pelo Banco de Dados Nacional de Vulnerabilidades (NVD) dos Estados Unidos não consegue acompanhar a explosão de novas vulnerabilidades reportadas”, declarou Booth durante a VulnCon26 em Scottsdale, Arizona, em 15 de abril de 2026.
Por que isso importa para a segurança corporativa
Sem metadados completos, ferramentas de correlação que dependem do NVD podem falhar em pontuar riscos de softwares legados, deixando cisos sem visibilidade sobre brechas críticas. Para contornar o vácuo, fornecedores de scanners deverão recorrer a bancos alternativos, como o VulnDB, ou construir pipelines diretos com o repositório CVE da MITRE, intensificando custos operacionais.
O NVD é mantido pelo NIST desde 2005 e serve como backbone para plataformas SIEM, SOAR e gestores de patch. A decisão sugere necessidade de investimento em automação via IA generativa e parcerias com clouds públicas, algo já considerado pelo órgão em discussões com a AWS e o Google Cloud, segundo insiders do mercado.
O que você acha? Sua empresa está preparada para conviver com gaps de dados de vulnerabilidade? Para mais análises, acesse nossa editoria especializada.
Crédito da imagem: Divulgação / NIST
