O **NIST** anunciou esta semana que reduzirá seus esforços de análise de vulnerabilidades devido a um aumento avassalador nas submissões de Common Vulnerabilities and Exposures (CVE). A partir de 15 de abril, o **National Vulnerability Database (NVD)** fornecerá análise detalhada, incluindo classificações de gravidade, apenas para vulnerabilidades que atendam a critérios específicos. ### Critérios de Priorização O **NIST** agora concentrará seus recursos em vulnerabilidades que: * Estão listadas no catálogo de Vulnerabilidades Exploradas Conhecidas (KEV) da **CISA**. * Afetam softwares do governo federal dos EUA. * Envolvem softwares críticos, conforme definido pela Ordem Executiva 14028. ### O Surto de Submissões O **NIST** atribui essa mudança a um aumento dramático nas submissões de CVE. A agência relata um aumento de 263% nas submissões, uma tendência que se espera que continue. Em 2025, o **NIST** enriqueceu aproximadamente 42.000 CVEs, mas a agência afirma que não pode mais sustentar esse nível de análise para todas as submissões. ### Impacto no NVD O **NVD** continuará listando todas as vulnerabilidades submetidas. No entanto, aquelas que não atenderem aos critérios de priorização terão apenas uma classificação de gravidade atribuída pela CVE Numbering Authority (CNA) que avaliou e submeteu inicialmente a vulnerabilidade. CNAs incluem fornecedores e organizações como a **The MITRE Corporation**. ### Por Que Isso Importa O **NIST NVD** é um recurso crítico para pesquisadores de segurança, profissionais de TI e organizações em todo o mundo. Ele fornece informações detalhadas sobre vulnerabilidades, incluindo pontuações de gravidade, produtos afetados e links para avisos e patches. Essas informações são essenciais para o gerenciamento de risco eficaz e a remediação de vulnerabilidades. ### Status "Não Agendado" Vulnerabilidades que não atenderem aos novos critérios serão categorizadas como "Não Agendado". O **NIST** enfatiza que isso não significa que essas vulnerabilidades sejam sem importância, mas sim que elas não apresentam o mesmo nível de risco sistêmico que aquelas nas categorias priorizadas. "Todos os CVEs submetidos ainda serão adicionados ao NVD. No entanto, aqueles que não atenderem aos critérios acima serão categorizados como 'Não Agendado'", [explica o NIST.](https://www.nist.gov/news-events/news/2026/04/nist-updates-nvd-operations-address-record-cve-growth) ### Solicitações de Enriquecimento Reconhecendo que algumas vulnerabilidades de alto impacto podem passar despercebidas no processo de priorização, o **NIST** está aceitando solicitações de enriquecimento para CVEs de menor prioridade via e-mail em ‘[email protected]’. ### Uma Mudança de Foco Embora atrasos no enriquecimento tenham sido observados desde 2024, este anúncio formaliza a mudança de foco do **NIST** para as vulnerabilidades mais críticas e de impacto generalizado.