Skip to content
Latchkey

O Que É um CVE? O ID Universal para uma Vulnerabilidade Conhecida

Um CVE (Common Vulnerabilities and Exposures) é um identificador público único atribuído a uma vulnerabilidade de segurança conhecida específica, para que todos possam se referir a ela da mesma forma.

Antes dos CVEs, diferentes fornecedores descreviam a mesma falha com palavras diferentes, e coordenar uma correção era um caos. Um CVE dá a cada vulnerabilidade um ID canônico, como CVE-2021-44228, que todos, scanners, advisories, fornecedores, usam para significar a mesma coisa. É o vocabulário compartilhado do gerenciamento de vulnerabilidades.

Anatomia de um CVE ID

Um CVE ID se parece com CVE-YYYY-NNNNN: o prefixo, o ano em que foi atribuído e um número de sequência. O ID em si é apenas um nome; os detalhes (versões afetadas, descrição, referências) vivem no registro associado.

Quem os atribui

O programa CVE, com autoridades numeradoras (CNAs) como grandes fornecedores e órgãos de coordenação, atribui os IDs. Quando uma vulnerabilidade é divulgada, ela recebe um CVE para que ferramentas e pessoas possam rastreá-la de forma consistente.

Como os CVEs alimentam o scanning

  • Bancos de dados de vulnerabilidades indexam findings por CVE ID.
  • Scanners fazem a correspondência dos seus componentes com faixas de versões afetadas.
  • Advisories referenciam o CVE para que você possa ler os detalhes.
  • Scores de severidade (CVSS) anexam-se ao CVE para priorização.

O que um CVE não te diz

Um CVE diz que uma falha existe; ele não diz que você está exposto à exploração. Uma biblioteca vulnerável que você nunca chama de forma arriscada pode representar pouco risco real. CVE mais contexto (reachability, exposição) é o que de fato guia a priorização.

CVEs no seu pipeline

Scanners de dependências e de containers reportam findings como CVE IDs com severidades, para que seu gate de CI possa decidir o que bloquear. Manter um SBOM significa que, quando um novo CVE surge, você consegue dizer imediatamente se algum dos seus builds é afetado.

Principais conclusões

  • Um CVE é um ID público único para uma vulnerabilidade conhecida.
  • Ele dá a scanners, advisories e fornecedores uma referência compartilhada.
  • Um CVE sinaliza existência, não exploração; o contexto guia a prioridade real.

Guias relacionados