再保险:[技术]CD:模糊(模糊的供应商的描述漏洞)

我同意斯科特。如果供应商自己发现问题(它发生你知道!)后释放或客户通知他们这个问题,供应商不会释放问题的技术问题,只是一个简短的描述,也许问题的风险水平和一个补丁或更新版本来解决它。这几乎是一个客户端关注....我脆弱的吗?我怎么修复它所以我不?所以我不认为我们会远离含糊不清。从研究和技术方面是令人沮丧的,但我们必须忍受的东西。斯科特的建议,模糊的CD应该专门指问题由供应商确认但没有进一步详细的是一个好主意。迈克·普罗塞研究技术领先,SIRC赛门铁克安全响应赛门铁克公司mprosser@symantec.comhttp://securityresponse.symantec.com(210)403 - 7833(210)403 - 7895传真| - - - - - - - - - - - - + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - > | | Tknogeek@AOL。:发送的COM | | | | | | owner-cve-editorial-board-list@list | | | s.mitre.org | | | | | | | | | 02/18/2002 09:50点| | | | | - - - - - - - - - - - - + - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - > > - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - | | | |:cve-editorial-board-list@lists.mitre.org | | cc: | |主题:Re:[技术]CD:模糊(模糊的供应商描述漏洞)| > - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - |帕斯卡和史蒂夫,我这是一个实用的一如既往。如果供应商选择释放一些含糊不清,他们公开承认有问题,需要修补。供应商承认一个接触或漏洞存在。虽然我希望我们生活在一个完美的世界的信息并非如此。我认为CD:模糊将帮助我们处理这个缺陷提供了我们不过度使用它。我认为重要的是要记住,CVE的主要用途之一是帮助系统妥善保护。在情况下,供应商说“您需要安装这个补丁”,我认为权证CVE条目…即使它有点模糊。如果我们开始分配模糊的未经证实的东西,这可能有点乱。也许我们需要指定的定义模糊的专门指的是模糊的供应商确认报告,而不是模糊的。 I'm sure if we beat this to deal long enough we can come up with a metric for vagueness too. :-) Scott Scott Lawler, CISSP Veridian