向供应商提供映射：更新

总的来说：除非我们的律师突然感到惊讶，否则看来，Miter的末端不会有太多问题，可以为每个供应商提供自己的映射。但是，戴夫和我仍然必须再经过一块繁文tape节，所以我们不能说我们100％确定（尽管我说我们确定了90％）。下周中旬，我们应该有一些具体的东西。作为您要考虑的问题：1）您将需要签署NDA以获取映射。非正式地，NDA的措辞将允许您使用MITER映射，但不允许您重新分配斜切映射或用于营销目的（例如，它无法用来说：“ Miter说我们检查XXX漏洞，检查XXX漏洞，例如）; *但是 *，您将被允许使用miter映射作为您自己映射的基础。2）为了使映射最有效，我需要从您那里获得最新的漏洞列表您的工具，以以下格式（或尽可能接近）： - 每个漏洞的单行（或者，由马车返回分隔的多个行条目） - 漏洞的简短文本描述（单行简短说明，“简短说明”，或3-5行；最坏的情况，完整描述） - 在漏洞中包括您自己的ID。（最好是漏洞条目的第一部分，但不需要）。此要求是为了您的利益 - 我使用的大多数漏洞列表没有与之关联的供应商的漏洞ID，因此您必须将CVE编号与文本描述相匹配。 Whatever ID you use is fine, as long as it allows you to get to the information you need. - list references (preferred, not required; this helps narrow the search and increases accuracy) If you would have problems producing a list such as this, please let me know. Here are some example entries (a la X-force database, where the first word in the line is the X-Force vulnerability name): aix-infod AIX infod vulnerability allows local user to gain root access bnu-uucpd-bo BNU uucpd contains a buffer overflow which allows a local user to execute arbitrary commands as root. smtp-875bo Sendmail 8.7.5 stack BO ... Vendors, please let me know (a) about how long it would take you to sign an NDA once you receive it, (b) how long it would take you to generate the vulnerability lists I identified above, and (c) if you can't provide us with your updated vulnerability lists without requiring a formal NDA for MITRE to sign. Thanks, - Steve