再保险:CVE程序优先级

在2015年12月29日,星期二,下午12:56,马尼恩的艺术<amanion@cert.org>写道:

几个收集反应……

在2015-12-22 22,尤金·h·清单写道:

在2015-12-22 14:28,Kurt Seifried写道:
>我真的认为我们应该把问题分成:
>
> 1)分配cf
>
> 2)CVE数据库
>
> # 1可以愉快地存在有或没有# 2。

这是一个重要的点。# 1是识别,这个东西
CVE-X。一些信息(# 2)执行# 1——是必要的
至少独特性的决心。数量可以减少的
多副本或整体少成本短期质量# 2。

一个注意:大多数开源的安全问题有一个相关联的CVE vuln提交创建的代码,代码提交固定vuln,或一个安全报告,通常至少标识脆弱的功能和描述发生了什么(通常用一个代码片段的例子)。所以至少从开放源码主要是我们关心的是“什么是脆弱的代码”,因为任何人都可以相对轻松地检查是否他们是脆弱的和高程度的确定性。

一个完美的例子是一些vulns giflib giffix效用,我们(Red Hat)船舶产品包括PhantomJS进而嵌入giflib、所以我裂纹源rpm打开看看giffix版本包含在我们PhantomJS,好消息是,它不包括giffix, giflib库比特。万博下载包

的当前状态http://www.cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2015 - 7555是“保留”的声明。

现在很明显的封闭的人更困难的境地,没有安全的报告,列出可靠版本/不影响信息的影响,或扬声器测试它在很大程度上是在黑暗中。但目前存在这个问题,因为我怀疑斜方积极验证/测试/写作进行繁殖的闭源报告(我很想知道如果他们)而是消费安全报告供应商/ etc。像世界上的其他国家。

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com