回复：CNA要求

在2016-05-31 11:35，Kurt Seifried写道：>我实际上从未听说过ISO 29147，刚刚检查过，花费很高>超过100美元以获得一份副本，所以这对大多数开放都无法正常工作>来源项目。更重要的是，我们可以归结为我在上一封电子邮件中列出的5个步骤所需的内容。>>在2016年5月31日上午8:16​​上午8:16​​，Millar，Thomas> mailto：thomas.millar@hq.dhs.gov>>写道：>>也许删除“成熟”一词是>可接受的分辨率的最快方法。形容词很难。>>安全的工程生命周期，包括常规漏洞>披露和补救活动，和/或自我调查>遵守ISO 29147，可能是一个定义。免费：http://standards.iso.org/ittf/publiclyavailablestandards/index.html当前版本可能不是足够的成熟度衡量，而是值得考虑的。下一个Rev正在开发。也就是说，对我来说，CNA成熟度是脆弱性协调/披露成熟度的子集。它们当然是相关的，可能与响应能力有关。但是我可以想象一个“良好”的CNA在其他脆弱性响应方面没有“好”。- 艺术