再保险:CVE程序优先级

因此我希望总是斜方会意识到处理这个问题的最好方法是成为一个协调身体主要和次要分配/研究/写作的身体,而不是主要和分配/研究/写作CVE的身体(没有我能看到真正的协调,赫克在这一点上我甚至不确定董事会的目的是什么)。

唯一可行的方式向外扩展CVE盖东西,或见鬼,甚至继续覆盖我们过去(如美国主要基于商业供应商,大多数主要开源的,等等)是采用一个开源的风格模式。我们需要降低成本(包括在货币条款和努力/时间)的CVE的,最好的方法就是创造更多CNAs所以CVE可以被分配在发现的源泉,快速、及时。

我们需要承认,官方现在CVE数据库google.com(或者无论你使用搜索引擎),不是cve.mitre.org。

我们需要承认什么是CVE真实不是横切的祝福,但事实上,一个值得信赖的来源(供应商安全团队,信任研究员等)说,CVE是有效的。已经如此,分配CVE的在公共场合使用而不是官方的斜方数据库是相当大的(红色帽子就有超过1000我们已经分配但僧帽数据库中未见)。

我们需要承认我们需要更多CNAs和CNA过程需要更简单。斜方还没回复马克·考克斯董事会成员和众所周知的安全行业知识渊博的人,我的意思是他运行Red Hat的安全响应,和坐在Apache的OpenSSL安全团队,分别和他想要的Apache和OpenSSL CNAs(目前他只是小猪背上CVE块分配给Red Hat的,所以他一直充当CNA在很长一段时间了,只是非正式的。但斜方不会让Apache / OpenSSL CNA(甚至报以一个原因为什么没有这样做)。

我们已经被斜方承诺变革,公开和我私下邮件在6个月左右,但是据我所知/可以看到没有变化。

我迅速失去信心横切CVE数据库管理的能力,CNA过程等等。

我有严重的担忧CVE的可行性,如果主要是左斜方的控制之下。

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com