指望cf

所有人,

我们有问题CVE报告已知问题,但明显更多,可以很容易地破坏CVE识别如果任其发展的有效性。

在ITSAC会议上我们讨论了这个未来的漏洞报告车间和后续软件的漏洞报告天保证事件一个月后。(有行动项目的后者,我没有意识到已经完成�)

我刚刚有一个非常有关讨论cf的有用性来衡量今天的漏洞,其价值的衰退如果这种趋势仍在继续。讨论围绕cf的数量确定的准确性相比报道社区作为一个整体。如果我们看CVE编号,看来漏洞的数量高2008年以来一直在下降。这是一个相当重要的错误。我们都知道,这是不准确的。漏洞没有下降,他们正在增长,而不是下降了30%。

供应商社区,这些趋势,而关于潜在影响。首先,我们使用CVE漏洞研究数据库作为主要参考。CVE Id被权威的过去。它内部使用方式漏洞记录了产品之间的信息交流和研究分析团队之间。由于数量的下降,这意味着我们被迫在全球提供识别和沟通CVE提供过去。更多的专有ids越来越规范。

更严重的问题是它是什么显示的公司高管。

“如果漏洞自2008年以来下降了30%,为什么我需要资金安全人员和努力我吗?我看到斜方是自2008年以来每年报告一个总体下降但是你们一直来我说的威胁是更糟,我们可能在相同的相对情况下当几年过去�”恶意软件飙升

对于那些积极工作在这样的环境下,我们不知道漏洞有自2008年以来下降了30%。恰恰相反,我们的内部数据显示越来越趋势类似于上升了30%。赛门铁克也报告了类似的趋势。

的一个主要问题是,斜方资金不应该是什么。在多个场合我们一直要求目标类的产品漏洞来源被认为是最重要的,哪些应该被监视。视图的目标和监测越来越小,资金水平或降低。

一度努力的目的是为了覆盖所有公布的漏洞,可以以某种方式证实。多年来现实中设置,这是一个资源密集型操作。这样努力的焦点已经减少了报道是什么保证cf可以被指定为类型的产品最重要的编辑委员会的参与者和他们的赞助商。这给了一个人工的数量的现有的漏洞和脆弱性社区外所公认。

另一个问题是CVE格式本身。有一个活跃的讨论格式限制。CVE-YYYY-NNNN CVE格式。这意味着,目前我们不能拥有超过10000 cf报道一年。我们看到内部,我们已经在那里了。

还有CVE过程的局限性。重点是英语只有虽然有些非美国漏洞得到分配。CVE不支持国际社会和软件编写的英语geo-centric地区不包括。虽然这并没有一个关心美国软件供应商,有一个很大的区域软件编写的主要新兴市场。这些由CVE漏洞识别。

考虑到这些限制,似乎是时候找出如何解决问题的创造性的方式。我们知道的约束。有什么我们可以做,以增加斜方人员在某些方面会有帮助吗?我可以看到格式问题是一个相当简单的攻击,但覆盖问题是最相关的。或者我们应该忽略它,慢慢的CVE社区和供应商衰变�

想法吗?

肯特Landfield
导演内容策略、架构和标准

McAfee |一个英特尔公司
5000年总部博士。
75024年德克萨斯州普莱诺

直接:+ 1.972.963.7096
手机:+ 1.817.637.8026
网络: www.mcafee.com