再保险:关于双重来源供应商的问题

在星期四,2016年6月16日下午6:25,Adinolfi丹尼尔·R<dadinolfi@mitre.org>写道:

思考问题:

理想情况下,供应商将自己CNA,覆盖其产品无论许可模式的类型。

任何人,这是我的长期目标每个人基本上,但我认为毕业CVE响应将有助于缓解的人,在我看来DWF:

1)你问DWF cf和内部/合作伙伴/等,使用它们,把它们放在你的提交/更新日志/报告至少(至少有一个公共工件),和理想的安全警告(CWE /等细节),和理想的你回到DWF报告。基本上secalert@redhat.com(我们不追人,只是分配和马克是用于我们的游泳池和一些基本信息)。

2)你开始问的DWF cf以结构化的方式,鼓励并显示你已经挂的“什么是安全vuln”和“分裂/合并”,在这一点上你绝对是使用cf公开和通知DWF上市。

3)你毕业CNA状态和得到一块和提交的DWF的自动化(换句话说不需要更多的人力资源从DWF除非有问题)。

有些人/项目可能永远不会“研究生”过去的第一步和很好(这是比没有cf !)。

不是每个公司都可以或想成为CNA,当然,我们怎么处理这些?

见上图。

如果有另一个基于CNA(例如,医疗系统)或地区CNA(例如,JPCERT),公司可以直接与那些区域将促进CVE分配和信息披露。

如果另一个联合CNA层次想要供应商或供应商更适合他们,训练他们,确保他们做CVE正确我所有的(更少的工作对我来说,和社区得到他们的cf !)。

如果这两种情况下适合,它将取决于DWF管理他们的受托人。横切CNA的优势是一个受信任的第三方对漏洞的披露。当闭源软件,这种信任可能是重要的。如果DWF创建与闭源供应商相同级别的信任,他们也可以完成这个角色。但这导致一些棘手的范围问题,它可以创建情况类似于“CNA购物”或介绍其他的协调问题。

我做的一件事有时候问的是“你已经要求cve横切/任何人?”根据请求(有些你可能可以告诉因为他们说“我们已经反暴力极端主义,麻烦你能给我们一个?”

其他人如何看待这些范围的问题吗?

理想情况下供应商足够灵敏,记者不去CVE购物,如果他们做他们告诉供应商(告诉我)所以我们不得到欺骗。我想减少作业时间将在很大程度上解决这个问题。

谢谢。

丹

---

来自:owner-cve-editorial-board-list@lists.mitre.org<owner-cve-editorial-board-list@lists.mitre.org代表Kurt Seifried > <kseifried@redhat.com>
发送:星期四,2016年6月16日7:13:58点
:cve-editorial-board-list
主题:关于双源供应商的问题

所以我们越来越有“双重来源”供应商,与从供应商完全OSI开放源码完全闭源。基本上任何大型商业供应商已经(微软、甲骨文等),越来越多的人(GitHub的扩散项目)。

我说,不是一个中央社,他们都想做cf开源的,和他们的闭源。但是没有简单的方法来做这个目前除了问cve-assign@mitre.org直接(后,似乎他们阅读https://cve.mitre.org/cve/data_sources_product_coverage.html记录他们的印象cve-assign@mitre.org不能这样做)。

我想建议供应商,开源是一个主要的一部分,他们的船,或他们的商业的核心;产品DWF能够带他们在它的庇护下。

一个假设的例子,适合这个模型将会是一个这样的公司Ansible(让我们忽略了一个事实,Red Hat收购它,因此Ansible属于Red Hat CNA), Ansible目前“Ansible”,这是开源核心,和Ansible塔目前是一个闭源管理/仪表盘。我认为在这种情况下是有意义有一个公司像Ansible CNA DWF下开源部分和闭源部分。

认为/评论吗?

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com