Backlog atinge 27 mil falhas
Uma auditoria do Inspetor Geral do Departamento de Comércio dos Estados Unidos, divulgada em junho de 2026, concluiu que o National Vulnerability Database (NVD), mantido pelo NIST, acumulou mais de 27.000 vulnerabilidades sem processamento — o dobro das 13.000 registradas em meados de 2024. O relatório aponta falhas de planejamento estratégico, operações ineficientes, duplicação de trabalho com a CISA e comunicação precária com a comunidade de segurança como causas diretas da crise que ameaça a utilidade do banco de dados mais consultado do setor de cibersegurança.
Origem da crise
O gatilho foi o vencimento do contrato de enriquecimento de dados do NIST em fevereiro de 2024. Apesar de ter dois anos de aviso prévio, o órgão não conseguiu substituir o contratado a tempo. A CISA, que financiava parte do programa, também não renovou o apoio financeiro em 2024. A divisão responsável foi lenta em solicitar verbas internas de reposição.
Um novo contrato só entrou em vigor em novembro de 2024. Enquanto isso, o volume de CVEs publicados continuou crescendo. O relatório do Inspetor Geral projeta que o total de vulnerabilidades reportadas em 2026 ultrapassará 60.000 — um aumento de dez vezes em relação a uma década atrás.
Trabalho duplicado com CISA
Um dos achados mais críticos é a duplicação massiva de esforço entre o NIST e a CISA. Em maio de 2024, a CISA lançou o programa Vulnrichment sem coordenação com o NIST. As duas agências contrataram o mesmo fornecedor para realizar tarefas idênticas sobre as mesmas vulnerabilidades.
| Indicador | Dado |
|---|---|
| Casos de trabalho duplicado (mai/2024–dez/2025) | ~21.000 |
| Valor estimado desperdiçado | ~US$ 200.000 |
| Tempo gasto em cálculo de scores de severidade | 80% do esforço analítico |
| Score do NIST coincidiu com avaliadores independentes | Apenas 12% das vezes |
| Submissões que já traziam scores do fornecedor | ~80% |
Em resumo: analistas do NIST passavam a maior parte do tempo recalculando scores que já existiam — e ainda assim raramente chegavam ao mesmo resultado de outros avaliadores.
Comunicação e planejamento
O NIST confirmou aos investigadores que nunca teve um plano estratégico formal para o NVD. Em abril de 2024, mais de 50 profissionais de cibersegurança enviaram uma carta aberta ao Congresso reclamando da falta de transparência. Nem o NIST nem o Departamento de Comércio responderam à correspondência.
O relatório também destaca que a meta anunciada pelo NIST de processar 6.200 vulnerabilidades por mês para zerar o backlog era irrealista: o órgão nunca havia processado mais de 5.000 por mês em toda a sua história.
Medidas em curso
O NIST anunciou em maio de 2026 um novo modelo de enriquecimento priorizado. O banco passará a focar apenas em três categorias: CVEs no catálogo KEV da CISA, software usado pelo governo federal americano e softwares considerados críticos. O cálculo próprio de scores de severidade será descontinuado — o órgão passará a confiar nos scores fornecidos pelas CVE Numbering Authorities.
O Inspetor Geral estabeleceu o prazo de 25 de julho de 2026 para que o NIST apresente um plano formal de ação com seis recomendações: criar plano estratégico, definir metas de redução do backlog, eliminar trabalho duplicado, facilitar contribuições externas, coordenar com a CISA e melhorar a comunicação com usuários.
Enquanto isso, a comunidade de segurança busca alternativas. Entidades europeias e organizações privadas já lançam bancos concorrentes, incluindo o GCVE, um sistema descentralizado de rastreamento de vulnerabilidades. O próprio programa CVE, administrado pela CISA, só evitou o encerramento graças a uma extensão de contrato de 11 meses em abril de 2025.