Re: CVE信息来源和范围

我道歉,但我要添加(必须/应该/忽略)不知道哪个我就表示用一个破折号。政府信息资源必须us - CERT警告(又名CERT-CC报告)必须us - CERT漏洞笔记(CERT-CC)必须us - CERT公告(又名Cyber-Notes) -国防部IAVAs NISCC必须AUS-CERT忽略CIAC(我的理解是,CIAC报告足够与CERT协调额外的接口不是高回报)CNA的出版资料必须CMU / CERT-CC必须微软必须RedHat应该Debian必须Apache必须苹果OSX必须Oracle Non-CNA供应商报告吗?Oracle Solaris(现在不在Solaris的一部分,CNA ?) Suse应该忽视Mandriva hp - ux忽略上海合作组织应该忽视AIX必须思科IOS自由BSD应该开放BSD应该忽视净BSD Gentoo Linux()应该Ubuntu (Linux)邮件列表和一家必须Bugtraq - Vuln-Watch VulnDev忽视充分披露(见下文)——安全——安全跟踪应该OSVDB必须ISS X-Force FRSIRT应该Secunia包风暴- SecuriTeam无邮件列表(Qualys)——Neohapsis(安全威胁的手表)充分披露清单:为什么我提倡CVE团队忽视充分披露?不是因为我认为是低价值,而是因为我希望其他组织正在阅读它,处理它,并做降噪。我会提倡作为三个额外的来源:应该应该:metasploit: Snort: Contagiodump.blogspot.com“概述利用包”我的所有三个逻辑是,很可能包含的攻击(metasploit),使用Snort贡献者认为他们应该看到的(因此达到了最初的CVE用例)和利用包数据,因为这些攻击在野外,和我现在的专业使用CVE的我花最多的时间。亚当