EN

Disclosure gap e seus efeitos em programas de segurança

Security Researcher

Heitor Gouvêa

Em fevereiro deste ano, descobrimos e reportamos um conjunto de vulnerabilidades em ferramentas amplamente usadas no ecossistema de segurança e infraestrutura.

O processo de disclosure coordenado desses casos tornou visível, um intervalo que raramente aparece em dashboards de segurança: o tempo entre uma vulnerabilidade ser identificada e um scanner automatizado conseguir detectá-la.

Durante esse intervalo, a falha já é conhecida por ao menos o pesquisador que a encontrou e o fornecedor responsável, mas ainda não tem existência pública.

Nenhum scanner a sinaliza, nenhuma ferramenta de correlação a indexa, logo, nenhum SLA de remediação é acionado. Para os sistemas que dependem de identificadores públicos como referência, o ambiente parece limpo.

Newsletter Getup.

Atualizações sobre Kubernetes e Software Supply Chain Security todos os meses.

Esse intervalo é o que nossa pesquisa chama de disclosure gap.

Conduzida na Getup, a análise cobriu 133.716 registros CVE publicados entre 2021 e 2026, e o resultado está documentado em um relatório que reúne dados, análise por classe de vulnerabilidade e recomendações práticas.

O relatório aborda:

  • O que é o disclosure gap e por que ele não aparece nos dashboards de segurança;

  • Como o tipo de vulnerabilidade, mais que a severidade, determina quanto tempo ela permanece fora do registro público;

  • O que os SLAs por severidade deixam de medir;

  • Recomendações práticas para operar com consciência do intervalo.

Para programas de vulnerability management estruturados em torno de SLAs por severidade, o disclosure gap tem implicações diretas sobre a qualidade da informação usada nas decisões de postura e investimento.

Clique no botão abaixo e acesse o relatório completo!

Operating Kubernetes in production for more than 13 years. With Quor, this experience extends to software supply chain security as well.