回复：SLA对DWG CNA（以及其他CNA）的关注

2016年8月26日星期五，下午12:39，梅根E.曼利<mmanley@mitre.org>写道：

库尔特，

我们同意我们需要继续为CNA建立指导。我们昨天在会议上讨论的CNA规则文件只是一个起点。

我们认为需要质量保证文件作为总体指导的一部分（符合Brian的建议），我们同意服务水平协议（SLA）应该是其中的一部分。在我们处理该指南的过程中，我们希望使用您的建议作为SLA对话的起点。

非常感谢您分享您对此的想法。

我怀疑DWF（由于开放源）的罐头/将与其余的SLA（尤其是封闭的来源）略有不同的SLA，对于有法律要求提供的行业，同上。但是，是的，总体而言，要注意什么是一个好的开始。

-Dan Adinolfi

从：所有者cve-editorial-board-list@lists.mitre.org[Mailto：所有者cve-editorial-board-list@lists.mitre.org这是给予的代表Kurt Seifried
发送：2016年8月26日，星期五，上午10:37
到：CVE编辑板列表<cve-editorial-board-list@lists.mitre.org>
主题：SLA对DWG CNA（以及其他CNA）的关注

因此，对于现有的CNA在斜切中，及时性和披露以及相关的操作领域没有很多规则。有些CNA是及时的，有些是缓慢的，有些发布信息，有些不及时。因此，首先我要确保我们用SLA覆盖正确的区域，第2步将确定要使用的值。因此，如果您认为缺少某些东西，请告诉我！

我对SLA的主要关注点是：

1）及时回复请求

2）分配的CVE的正确性（分裂/合并，是vuln，覆盖等）

3）使用CVE和私下发布信息（例如，用于禁运问题）

4）使用CVE和发布信息进行限制发布（例如，用于协调的处理/限制使用） - 不是我的优先事项，而是我至少要考虑的东西

5）使用CVE和发布信息进行公开出版（例如，在禁运升降机之后或根本没有禁运的问题）

6）将数据推回您的父cna，并在分配条目（标记为保留）后，最终将数据推回DWF，并且一旦公开（公开），如果它更改（例如，拒绝/更换_by，无论如何）。

时间表将是一个频谱，如所披露的/发布的信息（例如，对于禁运与公开版本），我不知道答案/SLA是什么，但首先我要确保我们涵盖了问题空间是什么。

一个注意：我考虑了CNA活性周围的SLA，例如“您必须分配X CVE的每月/年或失去CNA状态”，但我认为这不是一个好的指标，并且可能导致系统混乱。

- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人：secalert@redhat.com

- -

- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人： secalert@redhat.com