再保险:最近CVE批评

我怀疑大卫Jorm可能稍微有不公平的待遇或者是基于这一一些误解信息(也许谷歌/ WebKit CVE处理,已经有点混乱的历史?或prject零相关东西?)。谷歌不是CNA而不是董事会然而所以我看不出他们会如何影响斜接。它在我的待办事项清单与他交谈(完全披露:他曾是我的经理@Red帽子前一段时间他离开之前)。

像许多团体我们离组织或足够的能力有某种阴谋有关的CVE(如果有一个和我没有邀请我会适当的恼火,)。

2016年5月31日,星期二,在10:20耶利哥<jericho@attrition.org>写道:

仅供参考。真的很好奇,“谷歌”意味着re:秘密规则。

- - -

http://www.scmagazine.com/alt-campaign-plans-to-replace-fundamentally-broken-cve-platform/article/498880/

https://conference.auscert.org.au/david-jorm

演讲题目

CVE僵局,CNVD那样糟糕,我的心流血为整个混乱的抽象

在2014 - 15有一系列影响巨大的漏洞,琅琅上口的名字:弹震症,heartbleed,僵局,等周围的激烈辩论这一趋势,许多认为人们把命名的漏洞更严重的是不管他们的实际影响。人们并没有真正考虑是命名的漏洞是否仅仅是必要的,以确保他们有一个有用的规范标识符。

本课程将探讨常见的漏洞和风险敞口(CVE)计划,旨在为漏洞提供规范的标识符。认为CVE已经支离破碎,而斜方公司运行它既不能修复它,和不适合发行规范标识符,因为它的利益冲突作为一个政府资助的项manbetx客户端首页目。CVE过程的一连串的失败将详细,连同里面的信息,这个过程是由秘密规则要求的大型软件公司* *谷歌*咳嗽咳嗽*。

替代品如中国CNVD也会检查,其次是运动的讨论目前在社区进行接管和修复CVE过程。

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com