[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的
回复:CNA要求
- 到:“阿迪尼尔夫,丹尼尔·R” <dadinolfi@mitre.org>
- 主题:回复:CNA要求
- 从:kurt seifried <kseifried@redhat.com>
- 日期:2016年5月31日星期二09:33:15 -0600
- 身份验证重分:spf = none(发件人IP是129.83.29.3)smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none(未签署消息)header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = none header.from = redhat.com;
- CC:Jericho <jericho@attrition.org>,CVE-编辑板列表<cve-editorial-board-list@lists.mitre.org>
- 交货日期:2016年5月31日星期二15:11:22
- 陷入困境:<55F14868-59A0-4695-BA34-A89C47D288EC@MITRE.org>
- 列表助手:<mailto:listserv@lists.mitre.org?body = info%20cve-editorial-board列表>
- 列表所有者:<mailto:cve-editorial-board-list-request@lists.mitre.org>
- 列表订阅:<mailto:cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
- list-unsubscribe:<mailto:cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
- 参考:
<<<<B867A247-039F-443C-B1DD-724DFCEF7978@MITRE.org> <FCE8BD10-195B-4C56-8B2A-B5DA654F3D41@GMAIL.com> <DM2PR09MB0365489807EEE40CFDF0C3645F0480@DM2PR09MB0365.NAMPRD09.PROD.outlook.com> <<<<<<<<<Alpine.lnx.2.00.1605280142230.17809@forced.attrition.org> <55F14868-59A0-4695-BA34-A89C47D288EC@MITRE.org> - 发件人:<所有者cve-editorial-board-list@lists.mitre.org>
- spamdiagnosticmetadata:43DA9C421BE74AED97248473DB21FD15
- spamdiagnosticOutput:1:2
我将不是通过过程本身来定义一个成熟的安全过程,而是通过结果(本质上是SLA的期望)来定义一个很快想到的特定内容:
1)能够与供应商联系。项目/个人(安全)以至少一个电子邮件地址报告缺陷,理想情况下,也是PGP加密密钥,甚至更好地将安全错误归档到错误跟踪器中(但越来越多)(但越来越多)广泛使用GitHub)
2)确认和跟进安全报告,我想说的是Max每周对合法问题/问题的答复。例如,我在星期五下午的3分钟内有木偶安全团队的答复。在Red Hat上,我们有一个人类答复的SLA(不要让您牢记您,但至少是答复),用于发送给我们的安全报告。
3)错误跟踪 - 项目必须具有错误跟踪系统
4)项目实际上处理并解决了安全缺陷/报告,即使它是“ Wontfix,因为X/Y/Z”或“我们将在6个月内的下一个版本中将其获取”,但需要某种形式解决方案。将错误坐在错误跟踪器中多年,没有任何帮助,但是至少如果他们正确标记,项目的用户可以评估风险/do解决方法/等。
5)项目有一些通知过程,用于安全更新,最小的更改(理想情况下使用CVE),甚至更好的安全网页,甚至更好的公告列表(电子邮件或其他)
但是上面的一切都归结为:他们如何处理安全漏洞/报告?他们越多地解决/固定他们,就越有可能准备成为CNA,更重要的是,他们成为CNA的可能性越大,有价值。这只是一个问题,即“是否增加价值”,例如一个具有较不成熟响应过程的项目,但成为CNA,并忠实,正确地将CVE分配给发现的所有安全漏洞,即使它们不解决它们,仍然会增加价值,因为我现在可以评估该项目的安全性。,或者也许开始帮助代码致力于修复这些CVE。显然,我更喜欢将CNA分配和修复CVE,但我们都必须从某个地方开始。正确标记我们的安全漏洞是一个良好的开始(那么我们至少知道需要修复什么)。
2016年5月31日上午8:01上午8:01,阿迪尼尔夫,丹尼尔·R<dadinolfi@mitre.org>写道:
布莱恩,
由于我们似乎并非都同意一个成熟的安全过程,因此我们可能应该花一点时间来定义它。您(或董事会上的其他人;请在董事会上)如何定义或描述“成熟”的安全过程?我猜想可能有很多关于这样的事情的定义,如果CVE希望看到他们的CNA有一个成熟的过程,我们将需要有一个棍子来衡量“成熟”。
成熟过程是什么样的?该过程取决于组织以及他们如何进行软件/硬件开发和质量请访问,处理公关问题,支持客户等?还是我们的定义应该是标准,无论组织细节如何?我们是否只是衡量他们如何应对产品中的漏洞,还是应该衡量其运营过程的那部分?
来自最近的编辑委员会会议中的一个工作组之一是为CVE提交的标准/准则创建标准/准则,作为更大的实践讨论社区的一部分。我们也应该在该工作组中包括这个讨论吗?
-担
P.S.SGI确实存在。他们的CNA联系是Michael O'Connor,可以在security-info@sgi.com。
在5/28/16,02:45,”所有者cve-editorial-board-list@lists.mitre.org代表耶利哥“ <所有者cve-editorial-board-list@lists.mitre.org代表jericho@attrition.org>写道:
> 2016年5月17日星期二,库尔特·塞弗里德(Kurt Seifried)写道:
>
>:2016年5月17日上午8:54上午8:54,Waltermire,David A.(美联储)<
>::david.waltermire@nist.gov>写道:
>::
>:>恕我直言,我相信我们需要以支持一个的方式解决这个问题
>:> CNA之间的非层次结构图。这模拟什么
>:>发生在现实世界中。任何CNA都可以找到任何
>:>其他CNA,获取他们的联系信息,然后与他们联系以协调
>:>在CVE分配上。依靠父CNA并不能使这项工作。
>
>这是我们进入元讨论的地方...
>
>:所以我一直在考虑一下,回头看一些
>:在最后5000左右的CVE中,我分配了一些情况
>:很明显:
>::
>:1)作为CNA,如果您
>
>显然是错误的。
>
> - 苹果是CNA,它们没有成熟的安全过程。
> - IBM是CNA,它们具有令人讨厌的令人作呕的安全过程。(爱
>丽莎和斯科特,但这是真的!另外,为什么IBM不在董事会上?)
> - Oracle是CNA,它们没有成熟的安全过程。
> - SGI是CNA,他们...嗯,不存在吗?
>
>也就是说,您定义CNA要求的概述非常有用。
> =)只是不要在这里等同。
- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人: secalert@redhat.com
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人: secalert@redhat.com
- 参考:
