回复：CNA要求

在2016年5月31日的周二，丹尼尔·R（Daniel R）写道：：：既然我们似乎并不同意一个成熟的安全过程，我们：我们应该花一点时间来定义它。您将如何（或董事会上的其他人；请在董事会中）定义或描述“成熟”安全性：流程？我猜想可能有很多关于：事物的定义，如果CVE希望看到他们的CNA具有成熟的过程，我们：需要有一个棍子来衡量“成熟”。我认为第一个区别是“成熟”的安全过程，也是“成熟”的CNA过程。非常不同的事情。在我的列表中，这些组织在两个帐户上都出于多种原因失败。：成熟过程是什么样的？该过程取决于：组织以及他们如何处理软件/硬件开发和质量质量检查，用于启动器，实际回答与安全有关的邮件。任何没有的组织都不应该是CNA。这将立即将苹果移至榜首，因为他们在过去一年中未能回答我和同事的几封电子邮件。 Mine were related to bad CVE assignments (e.g. duplicates) and other CVE-related matters, that they ignored. : of the bigger community of practice discussion. Should we include this : discussion in that working group as well? Absolutely. : P.S. SGI does exist. Their CNA contact is Michael O'Connor, and they can : be reached publicly at security-info@sgi.com. Curious they are a CNA though, given their published advisories. =) Nothing from them in ages, and nothing from their parent company *ever* historically that I am aware of.