再保险:[CVEPRI]处理由史蒂夫Christey发现新的漏洞

我想,既然你是(不是吗?)宣布横切的一员,作为一个个体,即使你宣布,一定程度的信任必须给组织,通过组织。任何的人与你有不同层次的信任我们会指定你作为一个个体{8 >)。我相信是有区别的你先让你的漏洞公告和作为一个“未知”的政党,至少每个人一直在与CVE。我个人没有问题你请求充分可以预订来弥补你发现的许多问题。你显然是做正确的事情就我而言在之前与供应商密切合作“完整”公开披露。我的美元。02年迈克- - - - - - - - - - -从原始信息:Steven m . Christey [mailto: coley@LINUS.MITRE.ORG发送:周三,2000年9月20日下午7:11:cve-editorial-board-list@lists.mitre.org主题:[CVEPRI]处理新的漏洞发现史蒂夫·Christey:我最近发现一些新的漏洞在一些软件。我一直使用软件供应商,以确保修复可用之前我通常的地方宣传它。我还计划包括候选人数字在我最初的声明。由于增加了CVE分析幕后的候选人,以及一些其他non-CVE工作我参与开发源代码分析工具,很可能我或CVE的另一个成员内容团队将来会发现更多的漏洞。有一些潜在的领域可能会有一个真实的或者所感知到的利益冲突,我想复习与董事会成员。你的反馈是欣赏,你可以直接回复我如果你想让民间评论。1)我有点担心,如果我透露这些漏洞,那么它可能会阻止其他请求CVE候选人数量从我在未来。有些人可能会担心,如果他们提供给我的细节要求候选人时,我可以转身宣布,声称我是发现者。这是一个问题,因为我们将开放候选人预约(以前称为私人候选人分配)更多的人在接下来的几个月。我认为董事会成员信任我就不会这个问题:-)不过,候选人预订将提供给任何人问,包括那些可能不相信我。 If such an event were to theoretically happen, it would be my word against theirs. A mitigating factor in this is that I would expect to personally notify and work with vendors on all newly discovered vulnerabilities, in which case the vendor could be a neutral third party. In addition, those who request candidate numbers do not necessarily need to provide me with any details. 2) Diligence Level 1 for CVE candidate reservation allows the assignment of 1 CVE candidate number to an unknown party. (Seehttp://cve.mitre.org/board/archives/2000-05/msg00179.html)。因为我没有announcced任何漏洞在过去,在这个意义上我是一个未知的聚会,和我的勤奋程度是1。但是,我发现,2单独的漏洞将披露。建立在勤奋2级,但是,我需要至少3宣布新的安全问题。异常应该为“可信的人还没有宣布3新的安全漏洞”(假设我信任;-)或我应该被迫只使用一个候选人吗?有人关心勤奋水平呢?3)无论我如何获得一个考号公告之前,候选人将通过编辑委员会审查过程的其余部分和其他候选人,和其他人一样受到投票要求。让我知道你的想法。我相信供应商将有几天修复好了。谢谢你,史蒂夫