CVE用例

过去板叫有一个用例的讨论,我们同意,董事会的作业。我想这个线程开始收集和识别的各种用例周围存在一个漏洞的使用标识符。我也摇摆了识别这些用例创建的一些需求。我试图捕获用例,我听到别人的声音除了那些我熟悉,希望他们能反应,更新和改正我走失的地方。我发现在[1]的一些信息有用的在开发这个列表。我不确定这是足够的,或者为这个活动的细节,但想从一些相对简单,从那里开始。

在缺乏任何形式的术语表:

软件提供商:人创建、分配主机,或维护产品为最终用户可以包含漏洞

最终用户:人是产品的最终用户可以包含漏洞

安全研究人员:人调查的安全产品,如发现漏洞

脆弱性协调员:人作为协调员在漏洞信息生命周期

每个用例描述的格式:<演员(s) >想<执行一些操作/活动>为了满足一些客观/需要> <。

排名不分先后:

1。

描述:

软件提供商、安全研究员和脆弱性协调员希望能够识别整个发现漏洞,修复,和咨询发布生命周期以跟踪和分享信息在不同的组。

隐含的要求:

在整个过程中使用相同的标识符或使用不同的标识符时,需要有一种机制来将他们联系起来。

2。

描述:

最终用户想知道漏洞存在为了追踪评估,优先级和治理生命周期的任何漏洞存在于他们的环境

隐含的要求:

所有的漏洞都是识别和上市给最终用户

与标识符相关联的可操作的信息足以让最终用户执行必要的活动

3所示。

描述:

最终用户希望有一个共同的标识符漏洞为了参考漏洞使用相同的方法在使用不同/多个工具作为他们的脆弱性管理生命周期的一部分。

隐含的要求:

可互操作的标识符使用不同工具/信息提供者(缺席,需要一些方法与漏洞)

4所示。

描述:

信息提供者愿意提供漏洞信息,以帮助用户在脆弱性管理生命周期中。

隐含的要求:

列出所有的漏洞都有一个关联的标识符和有足够的信息来识别问题

[1]https://insights.sei.cmu.edu/cert/2014/12/vulnerability-coordination-and-concurrency-modeling.html