再保险:CVE程序优先级

在星期一,2015年12月28日下午16时,博伊尔,斯蒂芬·V。<sboyle@mitre.org>写道:

嗨Pascal等,

帕斯卡写道:
>“美国部门”是什么?

正如预期的那样,有很多的定义构成了“美国部门。”In this case, we picked the "U.S. IT Sector" as a starting point for further discussion because that has historically been one way to describe what CVE covers. Essentially, we are asking the Board to decide on a definition of priorities that will serve the needs of the community that uses CVE. That definition may or may not turn out to be what some would consider the "U.S. IT Sector."

我们分享你的问题将在这样的声明中包含或排除priorities-we可以合理地预期产生至少可能回答尽可能多的问题。然而,如果我们今天共同承认的CVE不能覆盖所有公开已知的漏洞,然后我们需要一个共同理解的重点是对运作。你后你的评论中提到的,我们需要平衡管理对缩小覆盖的问题是无关紧要的。

关于你的评论关于CVE操作和区域我们相信CNA池不仅应该,但需要更广泛地开放。如何定义和有界与董事会进一步讨论。

主教法冠将领导这个讨论?如果你能尽快把你的建议框架这吗?

我们会注意,根据我们的经验,我们相信应该有资格成为CNA,持续的措施的有效性,和添加和删除必须的框架。此外,这些应该清楚和公开记录。

我们有这样做的埃塔和结构吗?还是这些东西等待新文档/过程/等被横切过去所写的吗?

你也谈到了许多主题和概念我们已经仔细考虑,如全局标识符方案和其他方法来支持和管理合作或联合CVE-like枚举的操作。我们将更充分地地址和其他的相关问题和评论,结合响应电子邮件。

最好的问候,
横切CVE团队

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com