(CVEPRI)处理由史蒂夫Christey发现新的漏洞

:我最近发现一些新的漏洞在一些软件。我一直使用软件供应商,以确保修复可用之前我通常的地方宣传它。我还计划包括候选人数字在我最初的声明。由于增加了CVE分析幕后的候选人,以及一些其他non-CVE工作我参与开发源代码分析工具,很可能我或CVE的另一个成员内容团队将来会发现更多的漏洞。有一些潜在的领域可能会有一个真实的或者所感知到的利益冲突,我想复习与董事会成员。你的反馈是欣赏,你可以直接回复我如果你想让民间评论。1)我有点担心,如果我透露这些漏洞,那么它可能会阻止其他请求CVE候选人数量从我在未来。有些人可能会担心,如果他们提供给我的细节要求候选人时,我可以转身宣布,声称我是发现者。这是一个问题,因为我们将开放候选人预约(以前称为私人候选人分配)更多的人在接下来的几个月。我认为董事会成员信任我就不会这个问题:-)不过,候选人预订将提供给任何人问,包括那些可能不相信我。 If such an event were to theoretically happen, it would be my word against theirs. A mitigating factor in this is that I would expect to personally notify and work with vendors on all newly discovered vulnerabilities, in which case the vendor could be a neutral third party. In addition, those who request candidate numbers do not necessarily need to provide me with any details. 2) Diligence Level 1 for CVE candidate reservation allows the assignment of 1 CVE candidate number to an unknown party. (Seehttp://cve.mitre.org/board/archives/2000-05/msg00179.html)。因为我没有announcced任何漏洞在过去,在这个意义上我是一个未知的聚会,和我的勤奋程度是1。但是,我发现,2单独的漏洞将披露。建立在勤奋2级,但是,我需要至少3宣布新的安全问题。异常应该为“可信的人还没有宣布3新的安全漏洞”(假设我信任;-)或我应该被迫只使用一个候选人吗?有人关心勤奋水平呢?3)无论我如何获得一个考号公告之前,候选人将通过编辑委员会审查过程的其余部分和其他候选人,和其他人一样受到投票要求。让我知道你的想法。我相信供应商将有几天修复好了。谢谢你,史蒂夫