临时位置分配cf对自动化测试和其他大规模的脆弱性信息披露

所有人,

在过去,CVE偶尔会要求分配CVE-IDs

提交基于自动化测试的结果或类似的方法

可以产生大量的发现。我们将把这些称为

“大规模的请求。我们传统上处理这样的请求

视情况而定,但增加使用自动化测试

工具和类似的方法,我们相信,大规模的请求

CVE-IDs将变得更加频繁。

史蒂夫Christey Coley正在准备一篇关于这个话题,但我们想

为董事会提供临时声明有助于澄清我们的立场

和我们的计划应对大规模的CVE要求短期内。

我们临时的立场是,我们不会把大规模cve-assign

请求,大大不同于单个请求。由,

我们的意思是,提交研究员或揭露者应提供

足够的证据证明存在一个漏洞为每个单独的发现

他们的测试基于相同的标准,我们使用其他cve-assign

请求。同时,研究者/大参考应该描述每个自动化

发现在基于底层的漏洞类型和他们的请求

影响版本,CVE抽象的重要细节

影响的数量CVE-IDs分配。如果脆弱的证据

和/或abstraction-relevant没有提供细节,然后我们可以选择

要求请求方提供,和/或de-prioritize任何广泛

工作是必要的对我们进行相关分析

自己,从而推迟我们的完整的响应。

我们理解和认识到,我们的临时位置并没有解决

大规模的请求,提供足够的信息来证明

分配大量的CVE id。如果这种情况下或情况下出现

在不久的将来,我们将优先考虑和处理它们。

史蒂夫Christey Coley即将到来的纸会解决这个问题和相关问题。

最好的问候,

史蒂夫·博伊尔和史蒂夫Christey绿青鳕

主教法冠CVE