再保险:非公开的信息来源

Landfield 2015-04-01十七19,肯特写道:>虽然我理解的位置说,如果这一趋势>仍在继续,CVE否认越来越有价值的来源>信息?自从目的是识别漏洞,我们应该>讨论公共��方面一点吗?> >如果有方法访问这些网站提供的斜方和NIST > (CVE / NVD)和可以收集到足够的信息来创建CVE和NVD >条目分别为什么公共��唯一的访问需要吗?在这里我>不主张任何位置。我只是试着去理解和>讨论的政策要求所有有价值的信息来源>。方面得到足够的信息来创建一个功能性CVE条目,访问CVE / NVD是可行的。的透明度和基本的引用/参考实践中,访问CVE / NVD但不为他人不能工作。就我个人而言,我很好与决定不引用非公开来源,特别是只要其他公共资源仍然可用。Secunia和ISS通常收集器/聚合器(不确定Secunia生产原始脆弱性报告。)如果我们在一个环境脆弱性信息背后的支付/订阅者的墙壁,和CVE被访问,在宣传和隐式作用的一些其他非公开信息,会引用非公开来源的理由。 Referencing non-public sources potentially drives eyballs to those sources, and those eyeballs might be inclined to register/pay to see the secrets that CVE was talking about. That'd put CVE in an odd position of marketing for the non-public sources. Also reading Pascal's email, CNAs should be required to publish sufficient information to support an accurate CVE-ID assignment. And the "only public references" rule (or if it's changed, then guidance on non-public references) should be documented. It may be, but I couldn't find it.http://cve.mitre.org/data/refs/index.html认为,艺术>:<博伊尔>,“斯蒂芬诉”mailto: sboyle@mitre.org> > >日期:星期三,4月1日2015年39点>:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org > <mailto: cve-editorial-board-list@lists.mitre.org> > > Cc:“大妈,斯蒂芬·v .”mailto: sboyle@mitre.org> > >主题:非公开的信息来源> >最近,两个命名为CVE漏洞信息来源,> Secunia > > X-Force,实现了登录需求和限制>登录> >被允许访问。我们认识到,这些限制是> > >这一趋势的一部分,一些来源正试图平衡欲望为>公众> >提供有用的漏洞信息,通常>非常昂贵> >和资源密集型的牧师这样的信息。> > > >作为一直是我们记录实践,CVE只能参考> > >信息公开和免费供任何人使用。CVE引用的任何来源> > >免费实施任何形式的访问控制,如登录> > >的控制(1)并不限制人们或组织可以使用>来源,> >,(2)不强加任何过多的不便给用户。>如,如果任何> >请求者可以创建和获得登录否则无限制>访问,通过提供一个电子邮件地址,等> > CVE仍然认为源>�公众。�> > > >如果,然而,访问被拒绝的信息提供者的任何原因> > >斜方决定旨在限制谁可以访问>,> >源不是被CVE视为公共��并将不会>使用,即使> > CVE允许访问而另一些则受到限制。同样,任何>公共来源> >引用的CVE不能包含任何限制的共享或> > >其信息的重用,通常超过预期用户包括适当的> >归因到源,避免剽窃或新任命,等。> > >的来源本身开放没有限制,如充分揭示或> Bugtraq、> >认为没有访问限制。> > > >由于Secunia�年代和X-Force�年代决定限制> > >漏洞信息,我们想要正式通知董事会> CVE > >将不再引用Secunia或X-Force条目。如果他们将来>访问策略> >改变他们再次成为公开>访问,然后我们> >将再次引用他们的脆弱性信息。> > > >请注意,虽然OSVDB限制访问其搜索>功能,> > CVE仍然认为OSVDB作为公共��来源。 While CVE no longer > directly > > monitors OSVDB�s site, since OSVDB allows people with interactive web > > browsers to access individual OSVDB entries, CVE is free to reference > > OSVDB entries as long as they are cross-referenced in some other source > > or disclosure that is publicly available. > > > > MITRE is not considering the removal of previous entries in the CVE > List that > > cite Secunia, X-Force, or other sources from the past that were > originally public > > but then restricted, such as VUPEN. The references were public at > the time > > we associated them with the CVE entries and may serve as important > correlating > > identifiers, or they acted as the primary or secondary source of > information in the > > CVE description. Any such mass removal would affect thousands of CVE > entries, > > which would have unexpected adverse impacts on downstream consumers who > > monitor and act on CVE changes. > > > > Best Regards, > > The MITRE CVE Team >