CVE博客
我们的CVE故事:CVE的礼物
分享或评论
客座作者GS McNamara是Forcepoint全球产品安全事件响应团队(PSIRT)的主要应用程序安全工程师兼联合创始人,而Forcepoint是CNA。
力点自2017年以来一直与CVE计划合作CVE编号管理局(CNA)并从这种关系中获得了许多好处,这些关系继续对我们的产品产生直接影响。如果您正在考虑成为CNA,请考虑以下内容:
CVE受益于组织通过创建共同点,以使有关内部,与同行或与供应商进行内部管理漏洞的对话。防御性安全产品可以明确有关它们保护的脆弱性,这使消费者清楚地了解了组织的剩余曝光率。人员,数据库和工具都可以在同一页面上。
分配脆弱性的价值CVE ID延伸超出补丁。这些ID在跟踪相应的漏洞时可以使用这些ID,因为它们是在攻击中制作和使用的。作为威胁情报计划的一部分,CVE IDS通过在攻击中利用的脆弱性来帮助跟踪威胁行为者和趋势。
CVE受益于生产者在有或没有错误赏金计划的硬件,软件产品或服务中,因为CVE ID是一项资产,他们可以代替付款来感谢研究人员的努力和参与协调的漏洞披露。这使该组织受益的组织要么不想建立一个错误赏金计划,要么是由于预算考虑因素或其他原因而无法建立的组织。由于有CVE计划,组织可以以正式身份作为CNA免费完成所有这些,以作为影响其独特的,商定的范围内的产品的漏洞。
作为CNA的参与可能是组织具有成熟脆弱性管理计划的标志。成为CNA还为组织提供了最早的机会,可以在公开之前指导其范围内有关漏洞的对话。CVE ID是发行人可以将其他有用信息附加到诸如风险评级,受影响版本,缓解,补丁以及是否需要某些情况来实际利用漏洞的情况。
CVE受益于研究人员通过帮助他们建立一个充满成就的脆弱性研究组合,并以全球唯一的标识符和知名组织的认可。这对于寻求机会建立自己的机会来通过获得应有的认可,尤其是那些不需要正式教育背景而造就自己的资格的人,这是一个很好的选择。
CVE在Forcepoint上受益于我们
参加CVE计划有很多好处,并且由于参与是自愿的,因此每一个好处都是礼物。作为CNA,Forcepoint能够发行CVE IDS,以归功于外部和内部研究人员,他们与我们的产品安全事件响应团队慷慨地合作,以提高我们制造的产品和服务的安全性。成为CNA使我们访问了该计划中最新发展的脉搏,这将影响我们的道路,CVE的另一份礼物以及我们可以在任何地方寻求向前付款。
| - | GS McNamara |
| 首席应用程序安全工程师,全球产品安全事件响应团队(PSIRT)的联合创始人 | |
| 力点 | |
| 2020年11月16日 |
评论还是问题?
如果您对本文有任何疑问,请评论CVE博客媒介或使用CVE请求网络表格并从下拉菜单中选择“其他”以联系CVE程序。我们期待您的回音!
