Caro CNA do Linux Kernel, o que vocês fizeram?

Papel e Significado dos CVEs

  • Vários comentários ressaltam que os CVEs foram concebidos principalmente como identificadores únicos para que as pessoas falem do mesmo problema, e não como uma lista completa ou autoritativa de bugs de segurança “reais”.
  • Outros contrapõem que, na prática, reguladores, empresas e ferramentas passaram a tratar “tem um CVE” como sinônimo de “vulnerabilidade de segurança conhecida”, quer isso tenha sido ou não o projeto original.
  • Esse descompasso entre o uso pretendido e o uso no mundo real é visto como a tensão central.

Abordagem do Kernel Linux: “Todo Bug é um Bug de Segurança”

  • A postura de longa data da comunidade do kernel: muitas vezes é impossível separar de forma confiável bugs “de segurança” de bugs “não de segurança”, então assume-se que todos os bugs podem ser relevantes para segurança.
  • Tornar-se uma CNA e emitir CVEs para praticamente todos os bugfixes é visto por alguns como uma extensão lógica dessa postura; por outros, como um movimento deliberado de “queimar o sistema” para expor falhas no processo de CVE.

Regulação, Conformidade e Ônus para o Downstream

  • Muitos temem que uma enxurrada de CVEs do kernel gere dor de cabeça de conformidade: mais triagem, mais ciclos obrigatórios de correção e potenciais riscos de segurança/estabilidade em sistemas regulados ou de longa vida útil.
  • Alguns argumentam que normas (PCI-DSS, ISO, SOC2, CRA) exigem sobretudo processos para descobrir e lidar com vulnerabilidades exploráveis, e não aplicar patches cegamente em todos os CVEs. Um comentarista afirma que o CRA exclui explicitamente OSS upstream e foca na explorabilidade.
  • Uma visão recorrente: grandes empresas que se beneficiam do Linux deveriam financiar sua própria triagem em vez de esperar que desenvolvedores do kernel, sem remuneração, classifiquem bugs para elas.

Resultados de Segurança e Perspectiva do Atacante

  • Defensores acreditam que mais CVEs melhoram a transparência e empurram os retardatários para atualizações contínuas, que é a única forma realista de manter kernels seguros.
  • Críticos afirmam que CVEs vagos, sem pontuação e gerados a posteriori — além da ausência de CVEs para bugs não corrigidos — podem prolongar a vida útil de exploits e complicar a defesa, especialmente em sistemas legados que não conseguem fazer upgrade completo.

Problemas de Qualidade, Pontuação e Ferramentas

  • Muitos veem a pontuação CVSS como subjetiva, passível de manipulação e muitas vezes enganosa, embora reconheçam que ferramentas e regulações foram construídas em torno de CVE+CVSS.
  • Há preocupação de que os muitos CVEs do Linux, minimamente descritos e sem pontuação, quebrem ou desvalorizem a automação existente e os processos de segurança por “checklist”.

Respostas e Mitigações Propostas

  • As sugestões incluem:
    • Tratar CVEs apenas como entradas de triagem, e não como requisitos rígidos.
    • Pagar fornecedores para entregar “feeds limpos” curados e atualizações testadas.
    • Reduzir a exposição desativando componentes do kernel não usados e automatizando merges de versões menores.
  • Alguns argumentam que organizações que fazem conformidade ingênua CVE por CVE “só têm a si mesmas para culpar” e precisam evoluir seus processos.