Mudança estrutural na gestão global de vulnerabilidades
O National Institute of Standards and Technology (NIST) implementou uma reformulação significativa na operação da National Vulnerability Database (NVD) em resposta ao crescimento exponencial no volume de vulnerabilidades reportadas. A nova política, em vigor desde 15 de abril de 2026, estabelece critérios de priorização para o enriquecimento de CVEs, categorizando vulnerabilidades como prioritárias ou “Not Scheduled”.
A mudança representa uma resposta organizacional a uma crise de escala sem precedentes. Entre 2020 e 2025, o número de CVEs submetidas cresceu 263%, enquanto o primeiro trimestre de 2026 registrou volume 33% superior ao mesmo período do ano anterior, sinalizando aceleração contínua da tendência.
Novo mecanismo de triagem automatizada
A NVD opera como base centralizada que recebe CVEs de Certificate Numbering Authorities (CNAs) — organizações autorizadas a atribuir identificadores CVE — e as enriquece com análises adicionais. O processo de enriquecimento inclui atribuição de scores de severidade CVSS (Common Vulnerability Scoring System, métrica padrão para classificar gravidade de vulnerabilidades), classificação de fraquezas, identificação de versões afetadas e vinculação com advisórios e patches.
Com a nova política, o sistema implementa triagem automatizada baseada em critérios predefinidos. O enriquecimento automático passou a ser seletivo, mantendo a indexação completa de todas as CVEs mas limitando a análise detalhada apenas às vulnerabilidades consideradas prioritárias.
Critérios de alta prioridade
Três categorias de vulnerabilidades recebem enriquecimento automático: CVEs presentes no catálogo KEV (Known Exploited Vulnerabilities) da CISA, vulnerabilidades que afetam softwares utilizados pelo governo federal americano, e falhas relacionadas a softwares críticos conforme Executive Order 14028.
Todas as demais CVEs permanecem listadas na NVD mas recebem apenas o rating de severidade fornecido pelo CNA original. Essas vulnerabilidades são classificadas como “Not Scheduled” e podem ser enriquecidas sob demanda através de solicitação via email para nvd@nist.gov.
Resposta a sobrecarga operacional histórica
O NIST tentou inicialmente acelerar o processamento interno para acompanhar o crescimento. Em 2025, a organização enriqueceu 42.000 CVEs, volume 45% superior a qualquer ano anterior e representando um esforço operacional sem precedentes. Apesar desse recorde, o ritmo de crescimento das submissões continuou superando a capacidade de processamento.
A implementação da nova política reconhece explicitamente as limitações de recursos. O NIST admitiu que vulnerabilidades de alto impacto podem escapar do processo de enriquecimento automático se não atenderem aos critérios estabelecidos, transferindo parte da responsabilidade de identificação para as organizações afetadas.
Impacto no ecossistema global de segurança
A reformulação afeta diretamente como organizações worldwide priorizam patches e avaliam riscos. A NVD serve como referência universal para equipes de segurança, pesquisadores, fornecedores de software e ferramentas automatizadas de gestão de vulnerabilidades. A mudança para um modelo de enriquecimento seletivo pode criar lacunas informacionais para vulnerabilidades consideradas de menor prioridade pelos critérios federais americanos mas que podem ser críticas para organizações específicas.
The MITRE Corporation, CNA sem fins lucrativos que gerencia o sistema CVE, continua operando normalmente na atribuição de identificadores. A mudança afeta especificamente o processo de enriquecimento posterior realizado pelo NIST, não a catalogação inicial de vulnerabilidades.
Adaptação necessária dos processos internos
Organizações que dependem dos dados enriquecidos da NVD precisarão adaptar seus processos de gestão de vulnerabilidades. A categoria “Not Scheduled” exigirá análise adicional interna ou solicitações específicas de enriquecimento para vulnerabilidades relevantes ao contexto organizacional que não se enquadrem nos critérios de priorização automática.
A política representa mudança paradigmática na gestão centralizada de vulnerabilidades, reconhecendo que o modelo anterior de análise universal tornou-se insustentável diante do crescimento exponencial de descobertas. O descompasso entre capacidade de processamento e demanda forçou uma abordagem baseada em risco que prioriza recursos limitados para vulnerabilidades com maior potencial de impacto sistêmico.