修复和制裁的例子包括,但不限于:
的发展,培训,指导,或实现使用CNAs的材料;
CNA员工的再培训;
从CNA额外的流程文档和报告;
减少可用的CVE id CNA的数量分配一次;
拒绝提交;和
撤销中央社的地位。
问候,
周一,10月10日,所有的美国应该分配CVE id基于新的CNA规则列出:
<http://cveproject.github.io/
文档/ cna / % 20 v1.1 cna % 20规则。 >多克斯
当你使用这些新规则,请分享你可能与其他任何反馈CNA社区和斜接。我们想明白什么是工作,什么不是这样规定程序的改进,以满足这额外的指导和培训可以开发基于我们共同学习。你可以分享你的反馈通过cve-cna-list邮件列表或直接通过CVE僧帽Web表单。
早期评论家所指出的,规则文件没有提供明确的指导如何通知主或者根CNA关于出版物。附录B提供了格式但不提及的方法,这很快就会被纠正。目前有两种可接受的方法发送请求的出版物。第一个是使用上面的web表单,选择选项“通知CVE出版。”这个选项如果你发布一个或者少数几个CVE id,但可能不适合,如果出版大量的CVE id。第二种方法是创建一个文件附录B中概述和邮件文件给我们。我们希望你使用cve@mitre.org解决目前,尽管这在未来可能会改变。
我们打算收集和广泛分享反馈在未来3 - 6个月,所以这些规则仍然有效和电流。如果这个时间框架必须加速基于地面条件,那么它将会根据收到的反馈。
感谢那些在文档的起草提供反馈。我们期待着与CNAs帮助实现这些规则和解决任何问题。
请让我们知道如果你认为这不是时间来实施这些新规则。我们认为它是基于反馈装备加上董事会昨天打电话。
克里斯棺材
CVE团队