Por dentro do GitHub Advisory Database e o que acontece quando o volume de vulnerabilidades bate recordes

O GitHub Advisory Database não é só um catálogo de vulnerabilidades: é a infraestrutura de segurança que alimenta o Dependabot, integra com ferramentas de CI/CD e serve como CNA (Autoridade de Numeração CVE), já emitiu mais de 2.000 IDs CVE em 2024 e é a quinta maior do mundo. Em 2025, o banco atingiu recorde histórico: 48.185 CVEs publicados, média de 131 por dia, e o total de entradas no CVE ultrapassou 310.000. Esse volume explodiu por três fatores reais e confirmados: aumento estrutural de divulgações, expansão da cobertura para novos ecossistemas (como GitHub Actions, agora incluídos nos alertas do Dependabot) e descoberta acelerada por IA, que identifica falhas mais rápido do que a comunidade consegue validar, corrigir e documentar.

A base usa o padrão OSV (Open Source Vulnerability) em JSON, é gratuita, de código aberto e dividida em três camadas: avisos revisados manualmente pelo GitHub (mais de 20.000 em outubro de 2024), avisos não revisados e avisos de malware. A curadoria interna garante que 95% dos avisos originados diretamente de repositórios do GitHub sejam revisados em até cinco dias, contra 28 dias de média para dados vindos do NVD. Isso mostra uma diferença objetiva de velocidade entre fontes nativas e externas.

Esse crescimento não é estatística: é sinal de pressão real sobre desenvolvedores. Em 2025, 20% de todas as violações ocorreram por exploração de vulnerabilidades, segundo dados consolidados de relatórios de segurança, e o tempo médio entre divulgação e exploração caiu para menos de 5 dias. Isso significa que um alerta do Dependabot hoje não é apenas uma sugestão: é um prazo apertado. A inclusão de GitHub Actions nos alertas, anunciada na notícia original, é um exemplo concreto dessa adaptação, pois workflows automatizados agora são alvos diretos de ataques, com 56% de aumento nos ataques direcionados a websites em 2025.

O GitHub também está migrando parte dessa resposta para iniciativas colaborativas: participa ativamente do Akrites, projeto da Linux Foundation voltado à remediação rápida de vulnerabilidades críticas em software de código aberto, usando exatamente a mesma infraestrutura de IA que reduziu falsos positivos no secret scanning, outro ponto mencionado no corpo da notícia original.

Para devs brasileiros, isso muda três coisas imediatas: primeiro, os alertas do Dependabot agora cobrem não só dependências, mas também ações usadas em workflows, então qualquer .yml com uses: actions/* deve ser auditado com a mesma atenção que um package.json. Segundo, contribuir com correções ou atualizações no GitHub Advisory Database é possível desde fevereiro de 2022: basta abrir uma pull request no repositório público, com crédito garantido no perfil do GitHub. Terceiro, usar dados do OSV diretamente (via API ou CLI) passou a ser viável para pipelines personalizados, especialmente com a melhoria na confiabilidade dos alertas, graças à verificação com raciocínio contextual de LLMs, citada no anúncio sobre secret scanning.