CVE
7 artigos com esta tag
Corrigindo CVEs de dependências de verdade: varrer, corrigir, isolar e seguir vigiando
O trabalho de vulnerabilidade não termina quando você 'corrige'. Pronto = 1) varrer, 2) corrigir, 3) isolar/repassar, 4) monitorar. Até o monitoramento (detecção de mudança diária) estar no lugar, está incompleto — dependências voltam a ser vulneráveis amanhã. Uma correção perfeita que o próximo deploy sobrescreve vale zero. Equipes pequenas se mantêm seguras com duas disciplinas: detecção de mudança automatizada e 'local→push→deploy'.
Instalando e usando o osv-scanner: encontre CVEs nas suas dependências
O osv-scanner escaneia lockfiles e containers para revelar CVEs nas suas dependências, de graça. Este guia percorre a instalação, a execução e a integração ao CI, além de quando usá-lo vs. npm/pnpm audit vs. Dependabot. A visão deste site: a ferramenta certa é decidida pela SUA configuração — use o osv-scanner em projetos multi-ecossistema ou sem GitHub, e o pnpm audit embutido para uma única árvore npm.
O que é um CVE — o 'número da camisa' compartilhado das vulnerabilidades
Um CVE é um identificador globalmente compartilhado de uma vulnerabilidade (por exemplo, CVE-2025-12345). CVE = o nome, CVSS = a severidade, KEV = está sendo explorada. É a âncora do monitoramento. Acompanhe-o com máquinas, não na mão.
O que é RCE (execução remota de código) — por que é a pior classe de falha
RCE permite que um invasor rode código arbitrário no seu servidor — direto para a tomada de controle, a pior classe. O raio de impacto é definido pelos privilégios do processo em execução. As defesas centrais são patches rápidos, monitoramento de CVE e privilégio mínimo.
Vazamento da Equifax (2017) — como uma falha não corrigida no Apache Struts expôs 147M de pessoas
A causa foi um CVE conhecido e já corrigido (CVSS 10.0) deixado sem aplicar em um sistema público. Um certificado de monitoramento expirado ocultou a exfiltração por 76 dias. No seu ambiente: inventário de ativos, um SLA de patch, monitoramento por máquina e detecção saudável.
Log4Shell (CVE-2021-44228) — a noite em que o mundo temeu um bug que nem conseguia confirmar ter
O bug CVSS 10.0 do Log4j. O verdadeiro medo era a dependência transitiva — ser afetado por uma biblioteca que você nem sabia que usava. Um caminho passivo de logs virou vetor de ataque. SBOM, monitoramento por máquina, patch rápido e acompanhar os CVEs de continuação são as lições.
Rodando Next.js com segurança: não ficar para trás nos CVEs publicados
O maior risco de framework são CVEs publicados e negligenciados. Defenda com quatro pilares: julgue pela versão em execução, monitore com Dependabot/osv-scanner, atualize rápido e rode com menor privilégio. A visão deste site: desenvolvedores indie perdem não por conhecimento, mas por continuidade operacional — vença com um sistema que não deixa escapar, não com velocidade.