(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:DWF和CVE集成方案
- 来莫尼耶:帕斯卡<pmeunier@cerias.purdue.edu>
- 主题再保险:DWF CVE一体化的建议
- 从:Kurt Seifried <kseifried@redhat.com>
- 日期:2016年4月结婚,6 07:57:40 -0600
- Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = redhat.com;
- Cc肯特:“Landfield, B " <kent.b.landfield@intel.com>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 交货日期:2016年4月6日14:42:05结婚
- 在回复:<5705145 b.9010204@cerias.purdue.edu>
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:<b8da7370 - 41 - fd - 4334 a3a3 - 5 - e83ef1f2b86@intel.com> <5705145 b.9010204@cerias.purdue.edu>
- 发送方:<owner-cve-editorial-board-list@lists.mitre.org>
- Spamdiagnosticmetadata:43 da9c421be74aed97248473db21fd15
- Spamdiagnosticoutput:1:2
2016年结婚,4月6日上午七51,帕斯卡莫尼耶<pmeunier@cerias.purdue.edu>写道:
这听起来太好了。魔鬼在细节,如业务连续性规划和生命周期规划(例如,如果/当根CNA风)。有一个隐含的假设,使用当前DWF设置为例,GitHub不会失败,等等。不过以后应该可以解决的,没有理由延迟。
恰恰相反,我认为在某种程度上GitHub将失败/拉来源伪造或者做其他的事情,导致我们不得不移动。没关系,因为一切都在Git和琐碎的完全保持更新日期归档(就发出拉X请求每小时为您的本地副本)。我们可能会失去这些问题(bug报告),但这将是远离严重打击(假设我们可以复制/导出数据)的问题。
对于组织的连续性,这就是为什么有5 DWF董事会成员。
好的开始!我等不及要看到种子开花。
帕斯卡
在04/06/2016 06:52,Landfield,肯特B写道:
所有人,
跟进我们的谈话在董事会上周称,库尔特,DWF委员会自己和其他CVE董事会成员一直在努力整合建议应斜接。我们试图制定的意图,参数,期望和希望成功的结果将会导致什么。
我们很高兴听到斜方的协议和项目的总体目标中列出的电话,看到它的董事会会议记录。所要求的乔恩·贝克,记录下面的建议并提交。
我们相信这是在最佳利益的CVE和社区发起DWF / CVE尽早集成项目。
DWF和CVE集成方案
提议:
哈罗德·布斯NIST (harold.booth@nist.gov< mailto:harold.booth@nist.gov>)
拉里·w·Cashdollar Akamai技术(larry@akamai.com< mailto:larry@akamai.com>)
肯特Landfield英特尔(kent.b.landfield@intel.com< mailto:kent.b.landfield@intel.com>)
马尼恩的艺术,CERT / CC (amanion@cert.org< mailto:amanion@cert.org>)
布莱恩·马丁OSF / OSVDB (jericho@attrition.org< mailto:jericho@attrition.org>)
Kurt Seifried, Red Hat (kseifried@redhat.com< mailto:kseifried@redhat.com>)
大卫•Waltermire NIST (david.waltermire@nist.gov< mailto:david.waltermire@nist.gov>)
圣扎迦利Wikholm独立(kestrel@trylinux.us< mailto:kestrel@trylinux.us>)
重点领域
分布式弱点申请(DWF)项目提供了一个基于社区的开源面向过程的解决方案让CVE标识符到需要它们的人手中。DWF旨在工作与安全研究人员和其他的“生产者”CVE id,以确保及时分配id。项目的主要关注点是成为一个CVE编号权威(CNA)主要针对开源社区。
提出一种新型的中央社
这一概念验证的总体目的(PoC)是测试的有效性CNA的创建一个新类。过去CNAs一直,在大多数情况下,端点的CVE ID发行过程。授权必须发行CVE ID池中的一块然后他们用于发行自己的组织ID。这个建议是创建一个根CNA。DWF根CNA能够充当一个现有CNA通过发行CVE id要求。此外,DWF根CNA能够培训和协调其他组织和人民创造CNAs居住DWF的名称空间。
这是一个PoC,计划是“快速失败”的方法。DWF将实验,我们认为好的想法应该投入运营生产环境测试有用的主意。
以下是建议的细节工作:
●DWF项目将作为CNA并确保DWF和当前CVE ID范围之间没有冲突。DWF将开始在一个较高的数字与CVE编号避免冲突。
●DWF项目将使用ID通过cve范围cve -年- 1000000年1999999。
●DWF将IDs分配CVE回答请求直接发送到DWF研究人员,供应商等。
●任何下属DWF授权CNAs DWF下才会被允许存在层次结构和限制DWF授权名称空间(即cve通过cve高龄1000000岁的1999999)。
DWF项目将继续与斜方和其他人建立指导方针和要求CVE请求,CNA创建、管理的cf等等。如前所述,DWF将专注于开源软件,安全研究人员和安全供应商发现和报告安全漏洞。
DWF项目将继续密切配合主教法冠及CVE编辑委员会,以确保兼容性与现有和未来的CVE要求和流程如“漏洞”,分裂/合并等等。
DWF将与斜方和CVE编辑委员会创建一个基本的文档集的最佳实践可以协助开发和流程根CNA的使用和部署。虽然针对DWF,文档可以使用其他人CVE管理社区内。
提出了结果
该POC的目的是确定新技术的有效性,想法和一个新的CNA不能模型创建和CVE发行。如果成功的话,这个方法将允许其他根CNA部门设置。未来必须可以被分配根据技术部门或国界允许扩张和专业知识领域的当前脆弱性识别不可能在现有的CVE管理方法/计划。
推荐- - - - - -
肯特Landfield
+ 1.817.637.8026
- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com
- 跟进:
- 再保险:DWF和CVE集成方案
- 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:DWF和CVE集成方案
- 引用:
- DWF和CVE集成方案
- 来自:“B Landfield,肯特”< kent.b.landfield@intel.com >
- 再保险:DWF和CVE集成方案
- 来自:帕默< pmeunier@cerias.purdue.edu >
- DWF和CVE集成方案
- 上一页的日期:再保险:DWF和CVE集成方案
- 下一个按日期:再保险:DWF和CVE集成方案
- 前线程:再保险:DWF和CVE集成方案
- 下一个线程:再保险:DWF和CVE集成方案
- 指数(es):
