再保险:漏洞描述本体

库尔特和汤姆在的一些问题。精致的多一点。

NVD已经脆弱的格式各样至少十年的(如果不是长),但没有足够的钩子使机器能够决定人类弱点没有直接援助,并创建一些自动识别机制的内在属性漏洞一直感兴趣的我在NVD自从我开始工作。我们看如何生产CVSS v2和v3分数我们真正想要的一种分析漏洞,然后生成分数CVSS v2和v3就是促使我们对这种方法开始工作。虽然我本来打算在更多的工作实现NVD创建文档之前,与最近的重新关注CVE漏洞一般我相信得到这个文档开始讨论讨论漏洞,也许最好的方法使用本文档作为基础的脆弱性信息交换可自动化的方法将一些使用。我也认为一个常见的方式谈论弱点和能够识别类型的信息,可以提供关于漏洞信息的脆弱性将允许消费者指定他们需要什么信息,以完成他们的目标。最后,我真的希望能够跨越语言边界的脆弱性信息交换,我知道的唯一方式,在一个可伸缩的方式(自动化)是通过创建这样的东西。所以总结一下:

*分析漏洞一旦(最好是尽可能的早期过程中),

*自动处理和处理(回答问题:我有吗?有什么影响?)

*允许最终用户识别和问他们需要的信息,和

*跨语言交流

很明显,这只是一个初稿,如果有人有一些好的想法,将有用的我很乐意讨论。我已经收到了一些评论,可能会导致一些实质性的变化改善组织和结构。

问候,

哈罗德

来自:Kurt Seifried (mailto: kseifried@redhat.com)
发送:星期三,2016年10月5日晚上7点
:米勒,托马斯< Thomas.Millar@hq.dhs.gov >
答:耶利哥< jericho@attrition.org >;展位,哈罗德(美联储)< harold.booth@nist.gov >;cve-editorial-board-list@lists.mitre.org
主题:再保险:漏洞描述本体

我们目前(例如CVRF)不仅是可笑过时了(我们可以有CVSSv3请吗?),但可以解决一个不再存在的问题(这个问题已经变得如此严重的感觉……)。我们目前的问题是多可怕,问题我们将会在5年内…是的。如果我们不强烈自动化这个(就像我提到的int他叫我们需要低水平位像asn . 1 - > x - > HTTPS)我们是注定要失败的。

老实说,整个DWF正如此缓慢的原因是我没有做任何工作为了让它堆积起来,看看我们需要做自动化,如何(现在我玩赶上第一位,并记录/如何这都是自动)。问题是我们要自动化的东西严重涉及人类作为源(电脑产生漂亮的数据,人类生产…东西=)。

2016年10月结婚,5日下午44点,米勒,托马斯<Thomas.Millar@hq.dhs.gov>写道:

这可能会像一个咆哮,但这真的不是

NVD(即哈罗德)一直致力于安全漏洞更大更好的结构化的格式的数据,特别是CVRF出来,/基本上是一个咨询格式所以多个现任供应商共享测试和块数据。

这个本体m,从我的角度来看,是一个强大的尝试创建一种security-affecting错误知识被捕获在一个结构,适应所有古怪的用例,我们了解了在过去的几十年里(几十年),以便各种收藏家、策展人、创造者的这些数据可以共享。

几年前这是好的有专有的脚本和专家知识服务的目的,但现在有太多的vulns(有或没有cf)和太多的星展银行和工具。哈罗德的本体草案是一个更好的开始,更系统化的方法。

我做过头了吗?我是假的?



us - cert汤姆•米勒

从+ 1-202-631-1915
https://www.us-cert.gov

---

来自:owner-cve-editorial-board-list@lists.mitre.org代表耶利哥
发送:星期三,2016年10月5日11:37:19点
:展位,哈罗德(美联储)
答:cve-editorial-board-list@lists.mitre.org
主题:再保险:漏洞描述本体

:这是第一个希望几个草稿和我们看
:评论在这方面我们需要修改以满足
:需要脆弱性管理。

我很好奇什么感知“差距”这是脆弱性管理
为了填补。你能详细说明这个项目的起源吗?

布莱恩

- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com