Glossário
O que é um CVE — o 'número da camisa' compartilhado das vulnerabilidades
O CVE atribui a cada vulnerabilidade um identificador único (por exemplo, CVE-2025-12345) para que todos chamem o mesmo buraco pelo mesmo nome. Como lê-lo, como CVE / CVSS / KEV diferem e como desenvolvedores independentes conseguem acompanhar isso de forma realista, com monitoramento automatizado.
"CVE-2021-44228", "CVE-2017-5638" — os números que estampam toda grande invasão. Veja o que eles realmente são e como um desenvolvedor independente pode acompanhá-los de forma realista.
Como ler o número
Um identificador CVE tem três partes. O número em si não carrega significado de severidade (isso é uma coisa separada).
Por que ele é necessário
Vulnerabilidades são encontradas o tempo todo. Sem um nome compartilhado, "aquele buraco que você quer dizer" e "este buraco que eu corrigi" podem não ser a mesma coisa. Um identificador comum permite que notícias, correções, scanners e bancos de dados apontem para exatamente a mesma vulnerabilidade. Esse é o ponto de partida de qualquer correção.
CVE vs CVSS vs KEV — não os confunda
Esses três andam juntos, mas respondem a perguntas diferentes. Você usa os três para priorizar.
| Termo | Responde | Exemplo |
|---|---|---|
| CVE | Qual vulnerabilidade (o nome) | CVE-2021-44228 (Log4Shell) |
| CVSS | Quão severa (0–10) | 10.0 (pior classe) |
| KEV | Está sendo explorada? | Na lista de exploradas → prioridade máxima |
Um CVSS alto não é automaticamente prioridade máxima
A pontuação é um "valor teórico de pior caso". Na prática, pese o KEV (está sendo explorada agora) e se você usa o recurso afetado. Um 10.0 que você não usa tem pouco impacto; uma pontuação média sob exploração ativa é prioridade máxima.
Da atribuição à correção
Um CVE não é publicado no instante em que é encontrado — ele passa por coordenação.
Descoberta e relato
Reservado
Publicado
Explorada (KEV)
Uma forma realista de acompanhar
Acompanhar cada CVE na mão é impossível, e o esquecimento vira o incidente. → Um CVSS 10.0 público ignorado por meses
Então, deixe as máquinas vigiarem.
Erros comuns
- Ler as notícias e julgar "provavelmente está tudo bem" na mão
- Medir o risco apenas pelo texto do
package.json - "Atualizar um dia desses" sem prazo
Deixe as máquinas vigiarem
- Dependabot (GitHub): PRs automáticos para CVEs que correspondem às suas dependências
- osv-scanner (Google): verifica seu lockfile no CI, em um único passo
- Julgue pela versão de fato em execução (não pelo piso)
A chave é julgar pela versão de fato em execução — o piso do package.json mente (esse erro de julgamento também alimentou um incidente de RCE).
Leia a seguir
- Glossário: O que é CVSS (o critério de severidade) · O que é RCE
- Defesa: Construa uma rotina de acompanhamento de CVEs
FAQ
QComo leio um número de CVE?
É 'CVE-ano-sequência'. Por exemplo, o CVE-2025-12345 foi atribuído em 2025. O número em si não carrega severidade — a severidade é expressa separadamente pelo CVSS. A sequência não é fixa em quatro dígitos; ela cresce conforme necessário.
QQual é a diferença entre CVE, CVSS e KEV?
O CVE é o nome (qual vulnerabilidade), o CVSS é a pontuação de severidade de 0 a 10 (quão ruim) e o KEV é uma lista de vulnerabilidades observadas sendo exploradas em ambiente real. Para priorizar, pese o KEV (sendo atacada agora) tão fortemente quanto um CVSS alto.
QAcompanhar cada CVE não é impossível para um único desenvolvedor?
Na mão, sim — e os esquecimentos viram incidentes. Por isso, deixe as máquinas vigiarem: Dependabot (GitHub) ou osv-scanner notificam você automaticamente sobre CVEs que correspondem às suas dependências.