CVE博客
我们的CVE故事:Rapid7
分享或评论
客人作者Tod Rapid7比尔兹利是CVE董事会成员CNA协调工作小组联络,和Rapid7 CNA。
早在2016年,一些新的和令人兴奋的CVE项目和正在酝酿之中Rapid7。后特别是陷入困境的时期CVE项目的计划,正在寻找合作伙伴在其最新授权联合CVE项目和跨新型共享负载CVE编号当局(CNAs)。脆弱性对其decades-spanning历史,在协调土地得到的失控。横切是(现在仍然是)“CNA最后贷款人(CNA-LR)”,尽管一些知名科技公司已经签署了CNAs,这些公司只发行CVE id对自己的产品。
到2010年代中期,很明显,这些科技公司的来源只有极少数CVE-able软件。事实证明,每一个公司是一家科技公司,抽出自己的应用程序和软件栈,最后的越来越多,这CNA成为第一的CVE胜地。CERT / CC和世界其他国家确实的事情也可以发行cf,但他们主要关注平民政府信息安全的问题。
同时,Rapid7已经确立了自己作为一个领先的语音免费和开源事业的安全——不仅仅是软件,但透明度的哲学时安全问题及其移植。Rapid7和CVE程序觉得我们也自然伙伴使命列举所有常见的漏洞,和2016年12月,我们叫一个研究中央社。
成为中央社对我来说是特别令人兴奋,因为协调脆弱性披露我的东西。从我少年天运行一个地下的BBS传播安全知识在1980年代(好吧,他们是黑客文档和教程建设红色框)通过我的工作作为一个技术领导者Metasploit框架,我花了我生命的平衡试图教育人们了解黑客和安全的现实。现在,有了一批我们的cf,我们可以开始分发CVE id和各式各样的研究人员都在做正确的事情通过发布有价值的安全研究和Metasploit模块。这个协调可以为个人研究是一个巨大的麻烦,所以作为CNA公共研究员至少需要协调脆弱的痛苦过程的一部分。
这也意味着Rapid7真的不得不加大,我们自己内部脆弱性报告流程形式化。软件开发人员更喜欢工作特性请求而不是修补令人尴尬的错误,但是,毕竟,Rapid7是一家安全公司,所以我们都知道我们必须以身作则。
换句话说,成为CNA迫使我们与协调的信息披露和实际练习我们所说的我们自己的(固定)漏洞时,我认为我们是一个更好的公司。就像有健身房会员之间的差别和教练缠着你走。作为一个中央社给我们,外部压力做我们想做的事情,为此,我超级感激是一个程序的一部分。
如果你正在读这,想成为CNA进那些甜蜜的安全收益,点击这里开始;真的对你很健康,你的产品,最终,你的顾客,和一个额外的好处,所涉及的人是最善良的,聪明的人协调披露的场景。这真是一个快乐的CVE计划,我期待更多的年这种伙伴关系。
| - - - - - - | 托德比尔兹利 |
| 研究主任 | |
| Rapid7 | |
| 2020年8月18日 |
评论或问题吗?
如果你有任何问题关于这篇文章,请使用CVE请求Web表单并从下拉菜单中选择“其他”联系CVE程序。我们期待着你!
