非常重要的信息编辑委员会

亲爱的CVE编辑委员会的成员,

CVE受到重大压力扩大到超出当前的产品和服务;同时,CVE id的需求急剧上升。结果,其他措施,特别是我们的通讯与编辑部和社区采取了后座,适得其反。为此,我们提供我们的歉意。

CVE以来世界已经发生了巨大变化在1999年被释放,我们正在迅速准备好满足安全的需要,研究人员需要访问漏洞id。为此,横切将开始一个试点项目,解决快速反应CVE-IDs星期一,2016年3月21日。我们希望强调,这绝不是一个试图绕过编辑部而是一个实验一步联邦社区脆弱性ID的方法被讨论在过去的几年中。我们将与董事会密切合作,评估的结果飞行员和共同努力,建立一个长期的解决方案,继续扩大覆盖面前进。

试点项目的细节提供了下面的新闻稿,将发布到CVE-ANNOUNCE邮件列表和CVE网站今天晚些时候。重要的是要注意,这种方法被选为避免冲突与现有的CVE目前操作过程,这下的id发表联合方案在飞行员不会分析和纳入CVE列表或提要。不会有影响外部操作;所有作用的漏洞将像他们现在来处理。

我们还计划继续与董事会讨论关于范围、来源,产品目前CVE封面和董事会认为CVE应该涵盖在未来。我们期待着下周与你讨论这些问题,并制定解决方案,这样我们可以立即采取行动。

谢谢你的继续支持。

乔祈神保佑

CVE通信和采用领先

manbetx客户端首页

斜方宣布启动Federated-Style CVE ID飞行员有效星期一,2016年3月21日

cf是有价值的网络安全风险管理,因为他们支撑脆弱性管理基础设施,包含(1)一个惟一的标识符,(2)描述,和(3)相关的引用。cf历史上发表与所有三个字段完全填充,以有效地服务于多个CVE的用例。

随着漏洞和相关的请求数量的不断增加,传统的操作模式CVE计划未能跟上不断增长的脆弱性管理社会的要求;不同的规模是必需的。此外,研究者和大参考社区已经确定需要快速、早期作业CVE id,使早期脆弱性协调和缓解。这个用例的即时性意味着传统的引用要求和描述,有时更重要比快速发行惟一标识符。

解决这种需求,横切将开始分配联合CVE IDs使用新格式的星期一,2016年3月21日。新格式将没有任何影响直接或当前格式的下游使用cf。斜方也承认它是至关重要的对社会和利益相关者能够轻易区分传统CVE条目和这些id分配快速的用例。

斜方已经参与的脆弱性管理社区联合漏洞标识符的概念方案,使合作脆弱性ID分配。因此,斜方正在这个机会尝试和飞行员联合CVE标识符语法提供一个明确的指标,rapid-assignment id不同于传统的cf。

新的快速反应联合ID方案已经精心设计,这样它不会破坏现有流程和参与者的用例,并允许为未来兼容现有的CVE标识符。联邦CVE标识符将允许快速试验和新类型的作业和用例CVE, CVE编辑委员会,社区可以一起工作来确定最佳服务社区的需要。

联邦ID语法将CVE-CCCIII-YYYY-NNNN…N,在“CCC”编码发行机关的国家和编码发行机关“三世”。发射,将是唯一发行机关冠冕,但我们希望很快添加其他地址的需求研究和大参考社区,以及网络安全社区作为一个整体。这个新的联邦ID系统将大大提高早期脆弱性缓解协调,减少请求之间的时间流逝和发行。

斜方正在继续完善CVE工作能力,自动化的脆弱性识别、描述和处理合并。作为联邦飞行员和下一阶段的CVE操作功能和自动扩展,传统cf可以合并联合cf。

CVE团队期待与CVE编辑委员会的成员和更广泛的社区迅速扩大CVE覆盖并实现联邦CVE识别方案,以便CVE能力保持跟上公认漏洞标识符的日益增长的需求。