Executando verificação de segurança...
Em resposta a BNVD – Banco Nacional de Vulnerabilidades cibernéticas do brasil (bnvd.org)
2
rlaneth

Opa!

Primeiramente, parabéns pela iniciativa e pelo compromisso com acessibilidade! Esses são os pontos fortes do projeto. Mas, como alguém que trabalha com application security e DevSecOps, vejo alguns problemas graves.

Quando você afirma que outros países mantém os seus próprios bancos de vulnerabilidades, ignora que o CVE foi criado para ser um padrão global, independente de onde fica a infraestrutura física onde a informação está armazenada. Quando você cria uma versão “nacional”, você quebra exatamente o que torna o CVE útil: um identificador único e universal que permite que equipes no Brasil, Índia, Alemanha e Japão falem sobre a mesma vulnerabilidade sem ambiguidade.

Sobre a questão do idioma: entendo a motivação, mas qualquer profissional de segurança precisa dominar inglês técnico. Patches, documentação oficial, discussões técnicas, certificações, tudo acontece em inglês. Criar uma muleta em português pode até atrasar o desenvolvimento dessa habilidade essencial. E nos dias de hoje, com ChatGPT, Claude e outros LLMs, a barreira da tradução sumiu. É literalmente copiar a descrição do CVE, colar no chat e você tem não só a tradução, mas explicações detalhadas, contexto, sugestões de mitigação...

A parte de “300000 vulnerabilidades catalogadas num banco próprio” ficou meio nebulosa pra mim. Se você está criando um sistema paralelo ao CVE, isso é problemático por se tratar de um padrão maduro e amplamente adotado por muitos anos. Se não for com um motivo e com uma proposta excepcionalmente fortes, tentar criar um padrão paralelo cria mais problemas do que resolve.

Cara, você claramente tem competência técnica. Que tal direcionar essa energia para algo mais impactante? Por exemplo, criar ferramentas que tornem o NVD e MITRE mais acessíveis para pessoas com deficiência visual seria maravilhoso. Ou análises contextualizadas para o cenário brasileiro (quais CVEs afetam mais as tecnologias usadas aqui?).

O Brasil precisa de mais ferramentas de segurança, mas que se integrem ao ecossistema global, não que criem ilhas isoladas.

Sucesso!

Carregando publicação patrocinada...
1
JuanMathewsRebelloSantos

Onde isso é isolado?
Usamos a Api do NVD, as vulnerabilidades são as mesmas do NVD, o que muda é que tá tudo traduzido para português do brasil.
Usamos CVSS2.0 coisa que a maioria dos sites não tem...
Até as do banco de dados próprio são as mesmas do NVD e por incrível que pareça, não tem nada, nada mesmo modificado.
As vulnerabilidades simplismente se atualizam sozinhas, sem interação do usuário!
Quanto a outros projetos relacionados a Cyber, já estão em andamento como adaptação da estrutura Mitre att&ck mitre defense, iso, etc... todas essas estruturas serão adaptadas para o português do brasil e para deficientes visuais.
O CVE é um padrão global, mas, os DBS e sites não são.
temos versão em japonês, inglês, indiano, etc... até espanhol existe.
Não faz muito sentido isso... o próprio NVD tem tradução para espanhol de cada vulnerabilidade passando o parametro lang na api.
Em resumo, não mudamos nada na sua estrutura global, só localizamos o conteúdo...
Não vejo como isso seria grave