O que é a CVE?

A CVE, conhecida também como "Common Vulnerabilities and Exposures" ou "Exposição e Vulnerabilidades Comuns" é uma lista de vulnerabilidades de segurança da informação comuns identificadas para conhecimento público.

As informações são emitidas em relatórios contendo a descrição de falhas de segurança em sistemas de informática, computação, incluindo um resumo de como mitigar os riscos e aplicar as correções.

Ficar atento aos relatórios divulgados, é essencial para saber se pode haver algum risco para a organização e empresa ao qual você trabalha.

Atualmente, a CVE tem um total de 145.389 relatórios de segurança emitidos na data da escrita desta postagem, e constantemente emitem novos relatórios assim que falhas são encontradas.

Geralmente assim que a falha é encontrada, até que haja uma correção definitiva, o relatório não é emitido, devido ser uma falha de dia zero, que se caso não houver correção, outros hackers podem acabar explorando os cenários de falhas com as informações divulgadas, e muitos dos itens divulgados são geralmente encontrados por institutos de pesquisas de segurança que estão trabalhando em troca de receber prêmios na identificação de falhas comprovadamente verificadas.

A CVE foi lançada em 1999 para centralizar as informações de falhas em sistemas, e antes da CVE, estavam surgindo várias ferramentas e relatórios proprietários descentralizados sobre falhas comuns, que não eram tão fáceis de serem rastreadas. A partir da centralização dos relatórios, ficou mais fácil que todos se comuniquem e que todos fiquem sabendo dos riscos ao mesmo tempo, ajustando seus sistemas a tempo antes de riscos maiores ocorrerem.

Veja mais sobre a CVE em: https://cve.mitre.org/about/ (em inglês).