再保险:关于双重来源供应商的问题

我非常喜欢有人能够从一个替代CNA获得一个标识符,当CNA名义上负责一个区域功能失常或不愿执行,说由于利益冲突,拒绝承认问题是一个真正的关心或者试图推迟披露。这些利益冲突很有可能当CNA也是供应商,这似乎是模型。理想情况下应该有备用,二级或“备份”CVE发行人所有域。帕斯卡在06/17/2016,霎时一切都安迪Balinsky (Balinsky)写道:>关于“CNA购物”这是一个问题,只要只发出1 CVE > ?安迪> >于2016年6月16日,下午兴起,Adinolfi, Daniel R > < dadinolfi@mitre.org <mailto: dadinolfi@mitre.org> >中写道:> >思考这个问题:> >在理想的情况下,供应商将自己CNA,覆盖>产品无论许可模式的类型。> >不是每个公司都可以或想成为CNA,当然,我们>怎么处理这些?> >如果有另一个基于CNA(例如,医疗系统)或>区域CNA(例如,JPCERT),该公司可以直接处理>那些区域将促进CVE分配和信息披露>。> >如果这些情况符合,它将取决于DWF管理>他们的受托人。主教法冠作为CNA的优势是脆弱的信任>第三方披露。当闭源软件>,这种信任可能是重要的。如果DWF创建相同>和闭源供应商的信任度,他们也可以实现>这个角色。但这将导致一些棘手的范围问题,它可以>创建情况类似于“CNA购物”或介绍其他>协调问题。> >其他人如何看待这些范围的问题吗?> >谢谢。 > > -Dan > > > ________________________________ > From: > owner-cve-editorial-board-list@lists.mitre.org<mailto: owner-cve-editorial-board-list@lists.mitre.org> > > < owner-cve-editorial-board-list@lists.mitre.org <mailto: owner-cve-editorial-board-list@lists.mitre.org> > >代表Kurt Seifried > < kseifried@redhat.com <mailto: kseifried@redhat.com> > >发送:周四,6月16日2016年7:13:58点>:cve-editorial-board-list >主题:关于双重来源供应商> >我们越来越有“双重来源”供应商,与>从供应商完全OSI开放源码完全闭源。>已经基本上任何大型商业供应商(微软,甲骨文,>等等),越来越多的人(证人的扩散> GitHub项目)。> >我说,不是一个中央社,他们想做的cf >他们的开源的,和他们的闭源。但是没有简单>方法目前除了问> cve-assign@mitre.org <mailto: cve-assign@mitre.org>直接(>似乎在他们阅读>https://cve.mitre.org/cve/data_sources_product_coverage.html他们的印象> cve-assign@mitre.org <文件>mailto: cve-assign@mitre.org>不可能做到)。> >我想建议供应商,开源是一个主要>他们船的一部分,或他们的商业的核心;产品> DWF能够带他们在它的庇护下。> >一个假设的例子,适合这个模型将是一个公司> Ansible(让我们忽略了一个事实,Red Hat收购它,等> Ansible属于Red Hat CNA),目前Ansible >“Ansible”,这是开源核心,和Ansible塔>目前闭源管理/仪表板。我认为在这样的情况下>这是有意义的一个公司像Ansible CNA下> DWF开源部分和闭源部分。> >想/评论吗?> > - - > Kurt Seifried——红帽产品安全——云> PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 7993 > e26红帽产品安全联系:> secalert@redhat.com <mailto: secalert@redhat.com> >