自动化测试和CVE id;董事会会议在RSA 2015

自动化测试和CVE id - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -斜方最近要求分配CVE IDs问题发现的自动化软件测试工具的使用。在过去,我们已收到请求CVE id对于发现的问题模糊技术,但是我们有(到目前为止)拒绝这样做。我们的一些原因不是这些请求id分配包括:CVE,根据定义,不是一个规范的所有已知的漏洞和网络覆盖的限制。——被测试的软件产品不在列表上的“产品”与董事会同意,结果,同时也表明可能的安全问题,不定义可以实际利用的漏洞。认识到董事会和社区的利益是动态的,我们想向董事会提出的问题进行讨论和可能的审查我们的保险清单(过期进行审核)。我们将遵循这个最近邮件的具体细节要求那些感兴趣的信息,并将向董事会提出特定问题有关CVE的报道结果通过自动化测试和类似的技术。CVE编委会会议RSA 2015(美国)- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -斜方计划筹集几个项目讨论董事会在接下来的几个月里。一些主题包括:规则、指导和条件添加或删除CNAs -规则,指导,和条件为添加或删除编辑委员会成员——审查目前的“来源和产品”名单——CVE的战略计划和方向,请让我们知道哪上面的主题是你的最高优先级或优先级我们可以集中我们的努力。也请让我们知道如果你计划在旧金山参加RSA 2015我们就可以开始规划会议空间和支持。当然,我们将有一个电话会议桥所以人们可以拨号。 Our current plan is to have a formal Board meeting, restricted to Board members only, and an informal informational BoF or similar that will be open to the public. Your responses to the above are actively solicited. We do not ever want to be in the position of moving forward on items that are not clearly aligned with the wishes of the majority of the CVE Editorial Board membership. Best Regards, Steve Boyle CVE Project Leader