非公开的信息来源

最近,两个命名为CVE漏洞信息来源,Secunia和

X-Force,实现了登录需求,限制登录

允许访问。我们认识到,这些限制是趋势的一部分

一些来源正试图平衡欲望提供公众吗

与有用的脆弱性信息事实往往是非常昂贵的

和资源密集型的牧师这样的信息。

作为一直是我们记录实践,CVE只能参考信息

公开和免费供任何人使用。任何CVE引用的来源

是免费实施任何形式的访问控制,如登录,只要

控制(1)并不限制人们或组织可以使用源,

和(2)不强加任何过多的不便给用户。例如,如果任何

请求者可以创建和获得登录否则无限制的访问,这样的

通过提供一个电子邮件地址,CVE仍然认为源是“公共”。

然而,如果访问任何理由被拒绝的信息提供者

斜方决定了旨在限制谁可以访问它,

源不被认为是“公共”CVE并将不被使用,即使

当别人限制CVE允许访问。同样,任何公开来源

引用的CVE不能包含任何限制的共享或重用

它的信息,通常超过预期用户包括适当的

归因到源,避免剽窃或新任命等。来源

本质上没有限制,开放充分揭示或Bugtraq、等

认为没有访问限制。

由于Secunia和X-Force决定限制对他们的访问

漏洞信息,我们想CVE正式通知董事会

将不再引用Secunia或X-Force条目。如果他们的访问策略

改变未来,他们再次成为公开访问,然后我们

将再次引用他们的脆弱性信息。

请注意,尽管OSVDB限制访问其搜索功能,

CVE仍然认为OSVDB作为“公共”来源。虽然CVE不再直接

监控OSVDB的网站,因为OSVDB允许交互式web

浏览器访问个人OSVDB条目,CVE免费参考

OSVDB条目只要相互参照其他一些来源

公开或披露。

横切不考虑删除以前的CVE列表中的条目

引用Secunia、X-Force或其他来源从过去,最初是公开的

但是限制,比如VUPEN。的引用是公开的

我们相关的CVE条目,可以作为重要的关联

标识符,或者作为主要的或次要的信息来源

CVE描述。任何此类大规模删除会影响成千上万的CVE条目,

这将对下游的消费者有意想不到的不利影响

监控和采取行动CVE变化。

最好的问候,

横切CVE团队