[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的
SLA对DWG CNA(以及其他CNA)的关注
- 到:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 主题:SLA对DWG CNA(以及其他CNA)的关注
- 从:kurt seifried <kseifried@redhat.com>
- 日期:2016年8月26日星期五08:36:57 -0600
- 身份验证重分:spf = none(发件人IP是129.83.29.3)smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none(未签署消息)header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = none header.from = redhat.com; mitre.org;dkim = none(未签署消息)header.d = none;
- 交货日期:8月29日星期一07:50:34 2016
- 列表助手:<mailto:listserv@lists.mitre.org?body = info%20cve-editorial-board列表>
- 列表所有者:<mailto:cve-editorial-board-list-request@lists.mitre.org>
- 列表订阅:<mailto:cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
- list-unsubscribe:<mailto:cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
- 发件人:<所有者cve-editorial-board-list@lists.mitre.org>
- spamdiagnosticmetadata:6CDB8BFC89744BD8BFEE511E3E65AA05
- spamdiagnosticOutput:1:2
因此,对于现有的CNA在斜切中,及时性和披露以及相关的操作领域没有很多规则。
有些CNA是及时的,有些是缓慢的,有些发布信息,有些不及时。因此,首先我要确保我们用SLA覆盖正确的区域,第2步将确定要使用的值。因此,如果您认为缺少某些东西,请告诉我!
我对SLA的主要关注点是:
1)及时回复请求
2)分配的CVE的正确性(分裂/合并,是vuln,覆盖等)
3)使用CVE和私下发布信息(例如,用于禁运问题)
4)使用CVE和发布信息进行限制发布(例如,用于协调的处理/限制使用) - 不是我的优先事项,而是我至少要考虑的东西
5)使用CVE和发布信息进行公开出版(例如,在禁运升降机之后或根本没有禁运的问题)
6)将数据推回您的父cna,并在分配条目(标记为保留)后最终将数据推回DWF,并且一旦公开(公开),如果它更改(例如,拒绝/更换_by,无论如何)。
时间表将是一个频谱,如所披露的/发布的信息(例如,对于禁运与公开版本),我不知道答案/SLA是什么,但首先我要确保我们涵盖问题空间是什么。
一个注意:我考虑了CNA活性周围的SLA,例如“您必须分配X CVE的每月/年或失去CNA状态”,但我认为这不是一个好的指标,并且可能导致系统混乱。
- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人: secalert@redhat.com
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人: secalert@redhat.com
- 后续行动:
- 回复:SLA对DWG CNA(以及其他CNA)的关注
- 从:“曼利,梅根E.”
- 从:“曼利,梅根E.”
- 回复:SLA对DWG CNA(以及其他CNA)的关注
- 上一条日期:回复:拟议的工作组和研讨会
- 下一个日期:回复:拟议的工作组和研讨会
- 上一个线程:回复:拟议的工作组和研讨会
- 下一个线程:回复:SLA对DWG CNA(以及其他CNA)的关注
- 索引:
