## NIST Anuncia Mudanças no Sistema de Rastreamento de Vulnerabilidades O **NIST** anunciou mudanças significativas na forma como rastreia vulnerabilidades de cibersegurança, reconhecendo que o número de submissões de bugs está crescendo a uma taxa insustentável. Essa mudança impactará como as vulnerabilidades são categorizadas e enriquecidas dentro da amplamente utilizada **NVD**. A agência agora focará seus recursos em vulnerabilidades que atendem a critérios específicos, marcando um afastamento de sua missão anterior de categorizar todos os **CVEs** (Common Vulnerabilities and Exposures). Essa decisão surge enquanto a agência luta para acompanhar o volume crescente de submissões. De acordo com um comunicado divulgado pelo **NIST**, as submissões nos primeiros três meses de 2026 são quase um terço maiores do que no mesmo período do ano passado, apesar de um aumento de 45% no enriquecimento de CVEs em 2025. ## Critérios de Priorização Sob a nova política, o **NIST** apenas enriquecerá registros de **CVE** que atendem a certos limites. Especificamente, o enriquecimento será priorizado para: * **CVEs** listados no Catálogo de Vulnerabilidades Exploradas Conhecidas da **Cybersecurity and Infrastructure Security Agency (CISA)**. * **CVEs** que afetam produtos usados pelo governo federal. * **CVEs** que impactam software considerado "crítico". O **NIST** visa enriquecer vulnerabilidades no catálogo da **CISA** em até um dia após a notificação. **CVEs** que não atendem a esses critérios ainda serão listados, mas não receberão análise adicional ou pontuação de severidade do **NIST**. ## O Problema do Acúmulo O **NIST** reconheceu um acúmulo existente de **CVEs** que não conseguiu processar devido a restrições de recursos. Essas entradas acumuladas, anteriores a 1º de março de 2026, serão movidas para uma categoria "Não Agendado" e só serão priorizadas se atenderem aos novos critérios. O **NIST** também dependerá mais das pontuações de severidade fornecidas pelos submissores, em vez de gerar suas próprias pontuações para todos os **CVEs**. Embora reconheça que as mudanças "podem não capturar todos os **CVEs** potencialmente de alto impacto", o **NIST** sustenta que essa abordagem baseada em risco é necessária para garantir que o banco de dados permaneça sustentável e confiável. ## Reação da Indústria Especialistas como Trey Ford, da **Bugcrowd**, sugerem que as mudanças do **NIST** refletem uma compreensão mais ampla dentro da comunidade de pesquisa: centralizar a triagem de vulnerabilidades nessa escala é insustentável. Ford enfatizou que a explorabilidade no mundo real, determinada por pesquisadores humanos, é o verdadeiro motor da prioridade de remediação. <a href="https://www.recordedfuture.com/platform?mtm_campaign=ad-unit-record" rel="noopener noreferrer">Saiba mais.</a> [](https://www.recordedfuture.com/?utm_source=therecord&amp;utm_medium=ad)