
Em fevereiro deste ano, descobrimos e reportamos um conjunto de vulnerabilidades em ferramentas amplamente usadas no ecossistema de segurança e infraestrutura.
O processo de disclosure coordenado desses casos tornou visível, um intervalo que raramente aparece em dashboards de segurança: o tempo entre uma vulnerabilidade ser identificada e um scanner automatizado conseguir detectá-la.
Durante esse intervalo, a falha já é conhecida por ao menos o pesquisador que a encontrou e o fornecedor responsável, mas ainda não tem existência pública.
Nenhum scanner a sinaliza, nenhuma ferramenta de correlação a indexa, logo, nenhum SLA de remediação é acionado. Para os sistemas que dependem de identificadores públicos como referência, o ambiente parece limpo.
Newsletter Getup.
Atualizações sobre Kubernetes e Software Supply Chain Security todos os meses.
Esse intervalo é o que nossa pesquisa chama de disclosure gap.
Conduzida na Getup, a análise cobriu 133.716 registros CVE publicados entre 2021 e 2026, e o resultado está documentado em um relatório que reúne dados, análise por classe de vulnerabilidade e recomendações práticas.
O relatório aborda:
O que é o disclosure gap e por que ele não aparece nos dashboards de segurança;
Como o tipo de vulnerabilidade, mais que a severidade, determina quanto tempo ela permanece fora do registro público;
O que os SLAs por severidade deixam de medir;
Recomendações práticas para operar com consciência do intervalo.
Para programas de vulnerability management estruturados em torno de SLAs por severidade, o disclosure gap tem implicações diretas sobre a qualidade da informação usada nas decisões de postura e investimento.
Clique no botão abaixo e acesse o relatório completo!

Operating Kubernetes in production for more than 13 years. With Quor, this experience extends to software supply chain security as well.
GET UP
© Getup · 2026

