CVE博客
我们的CVE故事:JPCERT / CC
分享或评论
客人作者Tomo Ito JPCERT / CC属于两个CVE项目工作组,CNA协调(CNACWG)和外展和通信(OCWG)和JPCERT / CC是第一根CVE项目。
当我第一次为这个博客提供了机会,我提醒的一员OCWG那JPCERT / CC有一个独特的故事和一直的一部分吗CVE编号权威(中央社)社区很长一段时间。这是真的;我们是第一个CNA成为根在程序除了斜接顶级的根(斜方TL-Root),没有任何必须在我们的伞大约3年——这怎么不是独一无二的?我愉快地接受了邀请,在同事的帮助下,他们的记忆,这是我们的CVE的故事。
2004年,在日本最小的脆弱性协调活动。政府认定的脆弱性协调员,JPCERT / CC进行协调的脆弱性信息披露(CVD)活动,但我们不是全球性的。我们只协调自己与日本供应商,至于全球协调(海外供应商所在地),我们依靠CERT / CC,和我们日本脆弱的笔记(JVN)警告日本文本。
因为世界是越来越相互依赖,JPCERT / CC认识到需要进行全球协调。的CVE计划,我们也意识到可以将漏洞识别,定义和分类。CVE全球通信提供了一种方法对网络安全漏洞。JPCERT / CC把这个作为一个机会成长,发起了一个项目成为中央社。
项目开始于2007年;JPCERT / CC本地化JVN网站及其所有内容到2007年,然后开始发布英语JVN警告和CVE id列表后,2008年5月JVN英语网站发布。两年来,JPCERT / CC单个请求了CVE横切TL-Root id。然后,2010年6月,我们成为世界第二(CERT / CC是第一个)协调员CNA。
我们成了CNA的第一年,我们54 CVE id分配;去年,在2020年,我们分配157 CVE id。我们CNA范围脆弱性作业相关漏洞协调角色,分配取决于案件数量我们处理和发布。
当JPCERT / CC在2017年成为一个根,我们没有任何必须在我们的伞。几年后在其他日本公司不感兴趣,我们会见了横切TL-Root讨论缺乏区域和设计一种新的招聘策略。
我们选择基于组织的CVD准备候选人,如果组织等进行了错误赏金计划。我们在东京,从办公室到办公室,解释的价值,需要CVE项目的重要性和吸引力。
行公司和三菱电机公司勇敢地站出来,2020年12月,这两个组织成为第一个必须在我们的伞。目前有四个CNAs JPCERT / CC -行公司,三菱电机公司NEC公司,现在东芝公司。
JPCERT / CC翻译注意的部分CNA新员工培训幻灯片在日本,他们被用于我们的CNA培训。翻译的文件很快就来。
我们现在的根范围是“日本供应商”,作为一个中立的组织理解全球心血管疾病的重要性,我们希望扩大到亚太地区。
JPCERT / CC参加每两周会议的横切TL-Root大约六个月,目前参加月度根会议与横切TL-Root CISA-ICS TL-Root。通过会见TL-Root冠冕,JPCERT / CC正准备成为一个顶级的根,根会议,有趣的话题如范围重叠和CNA招聘流程正在讨论。
实验我们也开始每季度会议与我们的主机必须“CNA说话。“这是一个非正式的对话会议旨在提供信息和解决问题(如果有的话)。我们希望这些会议会变成反暴力极端主义峰会亚太,在未来。
根的“重启”活动后,我开始参加两个不同的工作组的CVE程序-OCWG和CNACWG。工作组都充满价值的讨论,我建议他们谁没参加。通过OCWG Roots-specific播客。”与CVE计划,”乔被记录和发布市场从TL-Root冠冕,艾琳·亚历山大从中钢协ICS TL-Root和香农Sabens CVE董事会成员和OCWG椅子。
JPCERT / CC成熟作为全球心血管疾病组织通过CVE -我们现在全球心血管疾病协调员,根,和同伴在相同的使命——全球安全——不仅日本,而是全世界。我们感谢所有这些。
我们有一个高度的尊重和感谢所有的CVE参与者,我总是学习新东西CVE社区。
| - - - - - - | Tomo Ito | |
| 早期预警组 | ||
| JPCERT / CC | ||
| 2021年7月7日 |
