再保险:CVE计算文件的草稿

一些反馈:

一个脆弱性CVE程序的上下文中,是可以利用的代码,导致负面影响保密性,完整性和可用性,需要一个代码更改来减轻或地址。

一些vulns内部协议和唯一的代码更改,“补丁”是完全删除代码/功能。我们可以添加“一般要求”吗?我担心软件/ API的交集vulns将越来越普遍(多个实例,和人们会开始寻找)。

能装置(供应商确认)被扩大到包括实际验证通过概念证明/再生器为例,或通过源代码考试吗?

INC3.1“证明”,这意味着我们需要一个扬声器?

INC4:我们能更好的定义公共/私人吗?例如如果一个医疗设备制造商计划使用CVE为一个问题,然后他们会通知用户直接的?同上航空/ SCADA /等。

INC5:“CVE id分配给产品customer-controlled或customer-installable。”前提方案上锁定呢?我知道很多医疗设备、高端制造、等你买它,但你不要碰它,公司技术服务。同上等其他监管项目电梯(合约地大多数电梯维护涉及到“如果有人但我们触摸它,你保证是完全空白”)。

CNT4:我想更好的定义嵌入代码的情况,例如libxml / gzip情况(比特的到处都是!)。

2016年结婚,8月24日晚上19点,棺材,克里斯<ccoffin@mitre.org>写道:

所有人,

附件是一个新版本的CVE计数CNAs文档。我已经做了一些修改计算决策以及提供了一些澄清在某些决策基于CVE团队的反馈。

克里斯

来自:owner-cve-editorial-board -list@lists.mitre.org[mailto:owner-cve-editorial -board-list@lists.mitre.org]代表棺材,克里斯
发送:周一,2016年7月25日5:03点
:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:CVE计算文件的草稿

所有人,

很抱歉延迟,这些本该上周出去。

附件是最新的标记版本的简化计算规则,以及承诺非常粗略的版本的新CVE漏洞计数CNAs文档。仍有大量的工作要做在这个新文档,但是到目前为止主要开发决策树。包括决策树是为了取代老的决策树发现https://github.com/CVEProject/文档/团/ gh-pages / cna /application-guidance.md。

目前的想法是,“独立可以解决的”概念的引入,废止的许多老数决定,但我们有兴趣听听别人的意见。同样,包含规则实际上增长了一点,但这些似乎都是相当简单的。

报告类型决定是在内部讨论,对每个人都可能是新的。早期版本的文档没有良好的覆盖独立时如何计算可确定的导致没有或不确定。报告类型可以将普通的报告病例是在一种统一的方式来处理。这个想法是为了处理最常见的报告和建议为每个计算行动。我们绝对是兴趣倾听他人的想法全部计算决定,以及常见的报告和操作定义。

就像我之前说的,这是一个非常早期版本我开放给任何反馈。提前谢谢!

克里斯棺材

CVE团队

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com