No entanto, há um problema fundamental com o conceito zero CVS na prática. Ou seja, a única maneira de se aproximar de zero CVEs em escala é sempre atualizar para o código a montante mais recente. Isso recebe os patches de segurança mais recentes, mas também traz novos recursos, novos bugs, novas regressões, novas incompatibilidades, mudanças de configuração etc. Em outras palavras, precisamos reconhecer que qualquer alteração de código pode introduzir ainda mais novas vulnerabilidades (ou instabilidades) que podem ser piores do que a vulnerabilidade corrigida.
A questão é que nem toda falha de software é uma ameaça (ou uma ameaça séria) à segurança, especialmente devido à maré crescente de CVEs. Por exemplo, havia cerca de 30.000 CVEs registrados em 2023, mas quase 40.000 em 2024.
Existem muitas variáveis que alimentam essa inflação de CVE. A lista inclui aumentos no número de programadores que escrevem código, os geradores de código de IA ajudando -os, a quantidade de novo código está sendo escrita, um aumento na complexidade desse código e incentivos para pesquisadores de segurança e hackers. Por exemplo, estudantes e pesquisadores de segurança são incentivados a encontrar e relatar CVEs por recompensas financeiras, acadêmicas e de marca pessoal. Pior, com as guerras da IA chegando, podemos esperar que a descoberta de novos CVEs aumente rapidamente. Está chegando uma corrida armamentista onde a IA ajudará na descoberta de novos CVEs, além de corrigi -los. O resultado final pode ser absurdo de rotatividade de código. Alguns projetos upstream até se recusam a aceitar bugs encontrados pela IA, criando efetivamente um ataque de negação de serviço aos desenvolvedores.
