再保险:关于双重来源供应商的问题

来:Kurt Seifried <kseifried@redhat.com>
主题再保险:关于双重来源供应商的问题
从莫尼耶:帕斯卡<pmeunier@cerias.purdue.edu>
日期:星期五,2016年6月17日12:16:46 -0500
Cc:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
交货日期:2016年6月17日16:23:43星期五
在回复:<卡诺= Ty1BMMXGKt + MK2kXucZ0PmU5yJV_ZSx0ZKo62GKbnEKtAQ@mail.gmail.com >
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:<卡诺= Ty0 + W15xJQHJGrtVdNz5PJLfnCnSjWv7 = F_MLRaCJj-NOQ@mail.gmail.com > <BY2PR09MB101462083E457F504C723E5BA3570@BY2PR09MB1014.namprd09.prod.outlook.com> <F688D7E0-4B5F-4AAC-A509-C3D2BE16DFE5@cisco.com> <d540306c-6ea7-24a3-ef23-53a5f568250c@cerias.purdue.edu> <卡诺= Ty1BMMXGKt + MK2kXucZ0PmU5yJV_ZSx0ZKo62GKbnEKtAQ@mail.gmail.com >
发送方:“owner-cve-editorial-board-list@lists.mitre.org" <owner-cve-editorial-board-list@lists.mitre.org>
Thread-index:AQHRyCVR93492gPlcUyNDGYCuFdbHZ / szTWAgAD9ZgCAAAzogIAACgOAgAAGPAA =
Thread-topic供应商:双重问题来源

好,谢谢你。帕斯卡在06/17/2016下午12:54 Kurt Seifried写道:>在星期五,6月17日2016年在10:18,帕斯卡莫尼耶> < pmeunier@cerias.purdue.edu > >中写道:> > >我非常喜欢别人能够得到一个标识符> > > >另一种CNA,当CNA名义上负责一个区域> >失去功用的或不愿执行,说由于利益冲突的> > > >喜欢拒绝承认问题是一个真正的关心或者试图延迟> > > >披露。这些利益冲突很有可能当CNA > > > >也是供应商,这似乎是模型。> > > >理想情况下应该交替,二级或“备份”CVE发行人所有> >域。> > > >我的理解是,“根”CNA的联邦(如开放源> > - > DWF)应该是最后的CVE发行人,与最后一个> >斜接的支撑“最终的根”。如果研究员不能>满意度>从CNA或DWF他们可以去斜方作为最终的选择。>二阶效应之一是,供应商可能会变得更加合作以来>研究人员/记者现在将有一个更好的行动>。>是其中一个原因我时间轴数据添加到DWF数据,我> >开始持有供应商承担更大的责任,让公众更多> >数据基地安全相关的决定。帕斯卡> > > > > > > > > >在06/17/2016,霎时一切都安迪Balinsky (Balinsky)写道:> > > > >关于“CNA购物”这是一个问题,只要只有1 CVE > > > > > >发表了怎么办?安迪> > > > > >在6月16日,2016年,下午兴起,Adinolfi Daniel R < dadinolfi@mitre.org > > > <mailto: dadinolfi@mitre.org> >中写道:> > > > > >思考这个问题:> > > > > >在理想的情况下,供应商将自己CNA,覆盖的> > > > > >产品无论许可模式的类型。> > > > > >不是每个公司都可以或想成为CNA,当然,怎么我们> > > > > >处理这些吗?> > > > > >如果有另一个基于CNA(例如,医疗系统)或> > >区域CNA(例如,JPCERT),该公司可以直接处理> > > > > >区域将促进CVE分配和信息披露> > >。> > > > > >如果没有这些情况合适,这将取决于DWF > > >管理> > >他们的受托人。主教法冠作为CNA的优势是第三> > > > > >信任对漏洞的披露方。当涉及到闭源软件> > >,信任很重要。如果DWF创建同样的> > > > > >信任水平与闭源供应商,他们也可以实现,> > >的角色。但> > >这导致一些棘手的范围问题,它可以创建> > >情况> > >类似于“CNA购物”或介绍其他的协调问题。> > > > > >其他人如何看待这些范围的问题吗?> > > > > >谢谢。 >>> >>> -Dan >>> >>> >>> ________________________________ >>> From: owner-cve-editorial-board-list@lists.mitre.org>> owner-cve-editorial-board-list@lists.mitre.org> < >>> owner-cve-editorial-board-list@lists.mitre.org>> owner-cve-editorial-board-list@lists.mitre.org>> on behalf of Kurt >>> Seifried mailto: kseifried@redhat.com> > > > >发送:周四,6月16日下午2016 7:13:58 > > >:cve-editorial-board-list > > >主题:关于双重来源供应商> > > > > >我们越来越有“双重来源”供应商,与> > >从供应商完全OSI开放源码完全闭源。> > >已经基本上任何大型商业供应商(微软,甲骨文,> > >等等),> > >越来越多的人(GitHub的扩散> > >项目)。> > > > > >我说,不是一个中央社,他们想做的cf > > > > > >他们的开源的,和他们的闭源。但是没有简单> > >办法> > >这个目前除了问cve-assign@mitre.org cve-assign@mitre.org < mailto: > > > >直接(后,似乎他们阅读> > >https://cve.mitre.org/cve/data_sources_product_coverage.html文档> > > > > >他们的印象cve-assign@mitre.org cve-assign@mitre.org < mailto: > > > >不可能做到)。> > > > > >我想提出,对于厂商来说,开源是一> > > > > >主要他们船的一部分,或他们的商业的核心;产品> > > > > > DWF能够带他们在它的庇护下。> > > > > >一个假设的例子,适合这个模型将是一个公司> > > > > >喜欢Ansible(让我们忽略了一个事实,Red Hat收购它,等> > > > > > Ansible属于Red Hat CNA),目前Ansible > > >“Ansible”> > >是开源核心,和Ansible塔是目前> > > > > >关闭源管理/仪表盘。我认为在这种情况下它意义> > > > > >有一个公司像Ansible CNA DWF的> > >下开源和闭源> > >部分部分。> > > > > >思想/评论?> > > > > > > > > Kurt Seifried——红帽产品安全——云> > > PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 7993 > > > e26红帽产品安全联系:secalert@redhat.com < mailto: > > > secalert@redhat.com > > > > > > > > >

引用:
- 关于双源供应商的问题
  - 来自:Kurt Seifried < kseifried@redhat.com >
- 再保险:关于双重来源供应商的问题
  - 来自:“Adinolfi, Daniel R”< dadinolfi@mitre.org >
- 再保险:关于双重来源供应商的问题
  - 来自:”安迪Balinsky (Balinsky)”
- 再保险:关于双重来源供应商的问题
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:关于双重来源供应商的问题
  - 来自:Kurt Seifried < kseifried@redhat.com >