再保险:CVE问题

在星期一,2015年11月30日上午10:38,博伊尔,斯蒂芬·V。<sboyle@mitre.org>写道:

似乎我们共同想出一种方法来激励董事会的方式还没有一段时间。

我们道歉延迟响应,我们希望这篇文章的第一步打开CVE讨论,并做出必要的改变。

最近几天,海报已经注意到一些想法或建议他们过去了。我们感谢提醒,建议每个人都应该随时重复或重复之前的评论,这样他们就可以被包括在当前对话。

在过去的几周里,我们一直在努力改变CVE几点。显然,我们再也不能操作cve-assign过去,和改进cve-assign将创建或导致一些变化,我们希望通过CVE涟漪。

在即将到来的日子里,我们将发布这个列表如下:

• 澄清声明的CVE的范围。
• 讨论项目董事会关于澄清/通知CVE不能(事实上)和将不再(设计)覆盖所有公开已知的漏洞,所定义的CVE的范围。

在我看来,我们可以有我们的蛋糕和吃它。一件事在我脑海中不断涌现的是大教堂与市集(https://en.wikipedia.org/wiki/The_Cathedral_and_the_Bazaar)。CVE本质上是一个问题,适合大规模并行化(尤其是分割代码库,如与CNA)已经完成学位,我有一些想法如何防止/处理可能发生的问题与特定的解决方案,但是没有谈到他们因为它们而彻底改变游戏规则。

我感觉缺乏覆盖非英语软件,其他软件垂直(如SCADA /物联网)已经是一个问题,并将成为更多的问题都在我们的生活中本质上变成了软件驱动平台(我已经有软件在我的浴室磅秤和火警……更不用说汽车/等等)。我讨厌这样说,但CVE经常在许多安全问题“真正的”安全严重依赖平台和流程问题有CVE所以他们可以很容易地跟踪/解决。

• 讨论项目的董事会专门关于质量问题的主题任务的CVE ID和执行或多或少地分析之间的权衡时请求ID分配和下游合成问题。

同样对我的评论。

我们认为上述必要前进通过减少积压和CVE ID请求的响应时间。如果我们CVE比作一个房子,范围将房子的地基的立足点,并计数(抽象)决定将这个基础。

我们欣赏你的耐心,因为我们已经通过许多站问题。我们希望在不久的将来这些讨论和其他将使我们能够显著改善CVE的操作。

我们非常感谢董事会的关注,参与,见解和意见,我们期待着与即将到来的董事会成员讨论和决策。

最好的问候,

史蒂夫·博伊尔

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com