再保险:CVE响应时间

>为了这个讨论,这是测量的时间>披露是第一个(其中一个建立和跟踪>信息源)的时间直到CVE id发表和>一般可用。有两种不同的东西,可能发生的问题已经有了CVE的名字,因为它是分配CNA或要求提前横切。时间之间的时间问题是公共和细节被现场填写。在这些情况下延迟不是一个大问题是公众和媒体已经有了一个名字可以使用。——问题没有一个名称和需要。现在有问题被公众和之间的时间存在一个CVE的名字——这是危险的时候分配多个CNAs和斜方都分配一个名称,或者新闻记者混淆问题的能力。然后名字之间的时间分配和网站上的细节。在我们的经验中真的很难预测哪些问题将得到重大的公众和媒体的关注,哪些不会,它不是问题的严重性或风险有关。很多次我看到斜方批评为几周有空白描述一些“热”的问题。暗示之前,我的建议是允许描述有一些快速和快速初步框架,中央社提供的可能,会正确填写后斜方有时间做研究和分析。 (Perhaps I'm just missing the old CAN->CVE approach). > CVE VULNERABILITY RESPONSE TIME > > Please vote: > Fast = notionally 1-3 days > Normal = notionally 1-3 weeks > > > Government & Related Information Sources Fast to allocate a CVE name where one doesn't exist Normal where one is allocated already > > Vendor Published Information Normal > > Mailing Lists & VDBs Fast to allocate a CVE name where one doesn't exist Normal where one is allocated already Mark