再保险:CVE程序优先级

一个主要的评论:

CVE的目的是什么?我的理解是为漏洞提供一个标识符。基本上一个序列号简化处理库存。我不在乎在大多数的盒子,但我确实需要能够追踪他们。

我们有一个官方的数据库cve.mitre.org/NVD是不错,但不需要证明的事实在11000 + CVE已经分配的顺序和没有写数据库中列出(我知道的至少1000 +个人)。我甚至更新维基百科条目覆盖这因为我一直让人们问我为什么我没有更新了CVE数据库后分配CVE私下或公开。

个人给我官方的CVE数据库在这一点上是搜索引擎。当我代入CVE-YEAR-FOOO期望得到类似于信任的网站(如。bugzilla.redhat.com,bugs.debian.org,launchpad.net上游bug追踪器,OSS-Security档案等)与一个条目包含我在找CVE字符串。

我认为我们应该把问题分成:

1)分配cf

2)CVE数据库

# 1可以愉快地存在有或没有# 2。

在星期二,2015年12月22日于10:55,博伊尔,斯蒂芬·V。<sboyle@mitre.org>写道:

日星期四,2015年12月17日上午十一17,在线程“CVE即将到来的变化,”Kurt Seifried写道:

>有一个埃塔在任何吗?天/周/月?

在这一点上,显然CVE不能覆盖每一个已知的漏洞。一个简单的事实是,每年发表的cf数量已经跟不上速度或披露的缺陷的数量。CVE成功运营多年但还需要根本性的变化。15年前,我们可以有效地关注美国部门,告诉自己,我们在本质上是提供覆盖全球。鉴于国际软件开发的爆炸,情况已不再是这样。

如上所述CVE网站”CVE是由us - cert办公室的网络和通信(CS&C)在美国国土安全部。“国土安全部已经确定了若干关键基础设施领域和CS&C是确定为美国这行业中的领先地位。当我们考虑如何增加CVE的覆盖率,CVE -作为最高优先级必须有效地提供完整的报道在美国所使用的软件和设备部门。

CVE所需实现根本性的变化,我们编辑部必须对付一个许多重要的话题而CVE继续操作。我们一直积极倾听和听力上的问题和担忧董事会名单和在外面。我们正在内部了解问题和相互依赖关系限制CVE和反映这些回董事会审议。

为此,我们建议以下的任务列表,在优先顺序:

0。CVE的操作

1。CVE的优先覆盖的范围和相关的资源和产品

2。复审和简化的CVE漏洞

3所示。所需的“质量”的最终CVE条目

4所示。清楚,重新定义了规则和操作指南和管理区域

5。清楚,重新定义并为成为CNA更具包容性的规则

6。继续修订关于董事会成员和添加成员的过程

我们真诚感谢董事会的持续努力。你一直CVE的关键部分,从回到天的投票在罐到今天。我们期待评论和讨论这个列表CVE发展。

最好的问候,

史蒂夫·博伊尔

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com