再保险:关于双重来源供应商的问题

思考问题:
    
理想情况下,供应商将自己CNA,覆盖其产品无论许可模式的类型。
    
不是每个公司都可以或想成为CNA,当然,我们怎么处理这些?
    
如果有另一个基于CNA(例如,医疗系统)或地区CNA(例如,JPCERT),公司可以直接与那些区域将促进CVE分配和信息披露。
    
如果这两种情况下适合,它将取决于DWF管理他们的受托人。横切CNA的优势是一个受信任的第三方对漏洞的披露。当闭源软件,这种信任可能是重要的。如果DWF创建与闭源供应商相同级别的信任,他们也可以完成这个角色。但这导致一些棘手的范围问题,它可以创建情况类似于“CNA购物”或介绍其他的协调问题。
    
其他人如何看待这些范围的问题吗?
    
谢谢。
    
丹

---

来自:代表Kurt Seifried owner-cve-editorial-board-list@lists.mitre.org < owner-cve-editorial-board-list@lists.mitre.org > < kseifried@redhat.com >
发送:星期四,2016年6月16日7:13:58点
:cve-editorial-board-list
主题:关于双源供应商的问题

所以我们越来越有“双重来源”供应商,与从供应商完全OSI开放源码完全闭源。基本上任何大型商业供应商已经(微软、甲骨文等),越来越多的人(GitHub的扩散项目)。

我说,不是一个中央社,他们都想做cf开源的,和他们的闭源。但是没有简单的方法来做这个目前除了问cve-assign@mitre.org直接(后,似乎他们阅读https://cve.mitre.org/cve/data_sources_product_coverage.html记录他们的印象cve-assign@mitre.org不能这样做)。

我想建议供应商,开源是一个主要的一部分,他们的船,或他们的商业的核心;产品DWF能够带他们在它的庇护下。

一个假设的例子,适合这个模型将会是一个这样的公司Ansible(让我们忽略了一个事实,Red Hat收购它,因此Ansible属于Red Hat CNA), Ansible目前“Ansible”,这是开源核心,和Ansible塔目前是一个闭源管理/仪表盘。我认为在这种情况下是有意义有一个公司像Ansible CNA DWF下开源部分和闭源部分。

认为/评论吗?

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com