Resolvendo a Crise CVE: Certificação Profissional e Relatórios Obrigatórios de Vulnerabilidades
2025-04-16
A iminente expiração do contrato CVE da MITRE gerou controvérsia, levando a uma proposta para melhorar a segurança de software. O sistema CVE atual é repleto de relatórios imprecisos, diminuindo seu valor. O autor sugere um sistema baseado em atributos de vulnerabilidade em vez de pontuações, juntamente com a certificação de Engenheiro de Software Profissional (PSWE). A falha em relatar vulnerabilidades com precisão dentro de um prazo resultaria na revogação da licença, incentivando os relatórios. A proposta inclui financiamento e treinamento para futuros PSWEs, abordando preocupações de acessibilidade, criando, em última análise, um cenário ganha-ganha para a segurança de software e a sustentabilidade de projetos FOSS.