CVE团队指出ITSAC讨论全球脆弱性报告的未来

最近,横切CVE团队的成员出席和参加了一个会议记录由美国国土安全部(DHS), CVE的赞助商。这个机会是2011年美国Government-hosted自动化信息技术安全会议(ITSAC),和跟踪的主题是“未来全球漏洞报告。”

没有意外(鉴于其成熟度水平和采用),大部分集中在CVE对话。我们认为重要的是要保持完整的董事会报告的讨论发生在这个网络社区的一部分,希望提供我们的观察和想法。至关重要的是要注意,这些讨论发生在一个社区的一部分,需要更大的社区中分享和讨论。下面我们提供ITSAC讨论我们总结和想法让大家了解和促进对话的编辑委员会名单。一些CVE编辑委员会的其他成员也参加和/或参与,我们鼓励每个人总结他们的想法在充分讨论板上,以及任何和所有类似或相关的努力,他们可能都知道。

CVE团队看到3 ITSAC讨论的主要问题:

1。 许多人表示需要一个non-coordinated系统标识符

一个。 分享一个标准化的语法

b。 可以分配的脆弱性研究人员以最少的或者不协调

c。 可以用来支持的早期报道non-confirmed漏洞。

2。 讨论了需要一个国际,全球系统的标识符

一个。 提供CVE-like deconflicted脆弱性ID分配

b。 CVE提供id软件检查(主要是基于非英语的软件)。

3所示。 几乎没有讨论需要继续发展CVE的ID分配和文档过程跟上漏洞的披露信息来源CVE认为“必备”的编辑委员会(即过去几周我们一直在讨论这个列表)。

我们积极寻求并鼓励所有输入、经验和智慧。为了帮助开始讨论,CVE团队最初的意见是:

1) 我们支持早期报告ID的概念结构;然而我们看到这个用例是不符合3发现CVE用例和超出了CVE的范围。

2) 我们相信国际漏洞标识方案的设计超出了横切的CVE项目范围,但是我们认识到,横切,整个CVE编辑委员会和所有CVE-stakeholders必须监控和(在适当的地方)参与这样的努力,不仅提供输入和经验,以确保任何此类系统避免创建期望或要求CVE不合理和/或无法实现。

3) 我们继续看到CVE ID分配的进化和文档处理的“必备”的信息来源是最关键的领域目前关心的僧帽CVE团队和编辑委员会。

我们给每个三个领域的更多细节。

早期的报告id

“杂乱地”分配的必要性,non-deconflicted id共享一个共同的语法为主的讨论。许多人表示,需要某种形式的ID用于早期的报告问题之前官方CVE的分配ID。给出了一个例子是大容量的需要ID的结果自动化测试工具,这可能会或可能不会是真正的漏洞。参与者之间的共识是,似乎是一个需要研究人员能够创建自己的id等问题。也普遍认识到研究人员目前自由分配自己的专有IDs今天,事实上,几乎所有的信息来源使用它们。但是,它也认为,现有non-deconflicted专有IDs不共享一个共同的语法,这造成了一些问题。

CVE团队指出,CVE有3个主要用例,它支持,讨论了在去年的这个列表:

1) 补丁分类分析

2) 漏洞扫描和报告

3) 威胁和事件分析

我们还指出,在所有的这些用例3,需要CVE ID与“已知”的问题。在早期的CVE,“已知”的状态是一个编辑部投票的结果。CVE团队的今天,这是一个结果的判断对信息来源的数量和信誉作为反映在CVE编号发行。相反,我们认为早期的报告中讨论的问题缺乏这种级别的验证,因此,保证不同的标识符方案。更重要的是,我们认为早期的报告是一个完全不同(尽管相关)的用例,应该单独处理。我们认为,这种观点被接受,大部分的房间里和相信它坚持“白板”结束时会话。

我们想强调,尽管横切CVE团队认为,早期报告ID结构超出了CVE工作的范围,我们确认用例的合法性,并支持其他人试图创建和编写这样一个ID。

全球DECONFLICTED脆弱性ID标准

需要一个全球范围内的标识符方案分配CVE-style, deconflicted id在ITSAC会议讨论了已知的漏洞。这个讨论,部分论文的出版引发的“IVDA:国际漏洞数据库联盟,”陈郑洁等。

首先,拥有一个单一的可行性的分析能力,能够指定id的所有语言编写的所有软件和信息披露进行了讨论。斜方声称这对斜方尝试不可行,我们有强烈的怀疑,任何这样的集中能力可以创建符合成本效益的方式。我们认为,坚信,任何这样的系统需要依靠多个ID分配工作人员,每一个服务的角色,类似于横切CVE函数。

第二,有一个ID分配函数讨论传播到多个区域实体(名义上的)。的问题如何定义每个“区域”的“泳道”ID分配能力但不讨论解决。希望这样一个计划的区域的责任可以定义为每个ID指定人在全球系统,减少重复。这是一个问题,需要更多的讨论和澄清如果这样一个全球系统实现。进一步的反思,我们意识到,CVE编辑委员会讨论确定“必备”和“可有可无”的信息来源漏洞的披露可能受益。如果每个ID分配能力有不同的“区域”,精心挑选的披露信息来源是负责覆盖,它可以是全球标识符,结果将包含一个相对较小的和可控的重复数。显然,这是猜想,是需要调查更全面。

第三,组织或标准组织的问题应该定义一个全局ID结构和应监督“区域”的集合ID分配功能。在这种背景下,IANA特别提到的是拥有一个建立在协调记录ID和命名的注册中心。此时横切CVE团队没有意见,国际或使用全球标准的身体。

第四,语法的问题这样一个广阔的空间标识符方案进行了讨论。斜方认为只要适当“泳道”可以定义为每个分配工作人员,然后有几个成功联合ID名称空间可能包括ISBN和VIN作为灵感。这些ID计划通常编码3条信息

1) ID的名称方案(例如ISBN)

2) 发行人的身份识别ID(例如国家或供应商代码)

3) 任意的,名义上的ID号

只要任何大规模采用ID计划停留在本公约,横切CVE团队认为没有技术问题这将阻止我们采用新公约CVE ID发行。另一方面,如果由此产生的ID方案试图创建一个classification-style ID结构(如国会图书馆数字)编码的描述性信息基于一些分类系统,它将不太可能横切CVE团队能够产生这样的标识符。在我们团队成员一直在跟踪脆弱性分类方案15年,还没有看到一个稳定、统一访问漏洞的分类方案。根据我们的经验,我们非常坚信,任何系统试图编码语义ID名称空间将是有问题的。

CVE的进化

这个问题被提及在ITSAC会议上简要但没有收到重要的讨论。然而,一个消息通过响亮和清晰来自所有利益相关者在会议上:CVE的作品,不管将来会发生什么,CVE(目前我们理解它)需要继续为他们的流程保持可持续工作。在很大程度上,CVE的临界,结合参与的挑战跟上“必备”的信息来源,和日益增长的复杂性漏洞往往迫使横切CVE团队考虑其他问题,外部干扰,甚至,有时,威胁。我们知道CVE的内容生产过程需要发展;在这个时间点上,相信这是球,我们需要保持关注。

持续的CVE编辑委员会讨论

我们建议所有CVE编辑委员会的成员成为从事,或者至少知道,讨论关于全球脆弱性报告的未来。我们相信这是一个重要的和必要的讨论社区作为一个整体,并鼓励董事会成员和其他人认识到这样的努力。

最后,我们再次表达我们的感谢你们所有的人对最近的讨论提供了周到的和有用的反馈信息的来源,我们要求您的持续输入和指导我们期待很快再次拾起那个线程。

谢谢你的持续参与的活动和讨论CVE编辑委员会。

最好的问候,

史蒂夫·博伊尔

主教法冠CVE项目领导