O Que É um CVE? O ID Universal para uma Vulnerabilidade Conhecida
Um CVE (Common Vulnerabilities and Exposures) é um identificador público único atribuído a uma vulnerabilidade de segurança conhecida específica, para que todos possam se referir a ela da mesma forma.
Antes dos CVEs, diferentes fornecedores descreviam a mesma falha com palavras diferentes, e coordenar uma correção era um caos. Um CVE dá a cada vulnerabilidade um ID canônico, como CVE-2021-44228, que todos, scanners, advisories, fornecedores, usam para significar a mesma coisa. É o vocabulário compartilhado do gerenciamento de vulnerabilidades.
Anatomia de um CVE ID
Um CVE ID se parece com CVE-YYYY-NNNNN: o prefixo, o ano em que foi atribuído e um número de sequência. O ID em si é apenas um nome; os detalhes (versões afetadas, descrição, referências) vivem no registro associado.
Quem os atribui
O programa CVE, com autoridades numeradoras (CNAs) como grandes fornecedores e órgãos de coordenação, atribui os IDs. Quando uma vulnerabilidade é divulgada, ela recebe um CVE para que ferramentas e pessoas possam rastreá-la de forma consistente.
Como os CVEs alimentam o scanning
- Bancos de dados de vulnerabilidades indexam findings por CVE ID.
- Scanners fazem a correspondência dos seus componentes com faixas de versões afetadas.
- Advisories referenciam o CVE para que você possa ler os detalhes.
- Scores de severidade (CVSS) anexam-se ao CVE para priorização.
O que um CVE não te diz
Um CVE diz que uma falha existe; ele não diz que você está exposto à exploração. Uma biblioteca vulnerável que você nunca chama de forma arriscada pode representar pouco risco real. CVE mais contexto (reachability, exposição) é o que de fato guia a priorização.
CVEs no seu pipeline
Scanners de dependências e de containers reportam findings como CVE IDs com severidades, para que seu gate de CI possa decidir o que bloquear. Manter um SBOM significa que, quando um novo CVE surge, você consegue dizer imediatamente se algum dos seus builds é afetado.
Principais conclusões
- Um CVE é um ID público único para uma vulnerabilidade conhecida.
- Ele dá a scanners, advisories e fornecedores uma referência compartilhada.
- Um CVE sinaliza existência, não exploração; o contexto guia a prioridade real.