DWF开源CNA要求:

草案,请发表评论/指出任何问题,这是最小可行产品,我想避免sla /等,因为这将被用于个人和大型安全团队。

DWF开源CNA要求:

1。什么是您的组织的名称(如供应商/项目名称,和你的网站链接)

2。你必须同意横切CVE使用条款(https://cve.mitre.org/about/termsofuse.html)

3所示。你必须同意横切CNA规则(http://cveproject.github.io/docs/)

4所示。你会什么软件专门分配cf(这可能是所有你船,或有限的子集,要么DWF需要一个名单至少,理想情况下与url软件)

5。你必须提供一个公共方法(如不需要登录)发表cf(如产品的更新日志或一个安全与cf和最小信息列表页面中指定CNA规则)

6。你必须有一个电子邮件/ web页面为人们报告覆盖产品的安全问题,可能需要cf(基本上,你需要一些预先存在的安全过程,至少可以确定如果是一个安全漏洞,然后为它指定一个CVE可以公开在某种程度上)

7所示。你预计需要多少每年cf, DWF分配10块,20岁,50岁,100年,如果你需要更多,我们可以指定额外的块。如果一块闲置很长一段时间我们可能会返回它的DWF池(方法待定)

8。你必须提供一个联系人的DWF最低CNA团队(注意,这可以是你现有的安全团队)和联系信息的电子邮件地址,他们实际上检查(如他们的工作电子邮件地址),这个可以保密,如果你愿意,它必须保持最新的(例如,如果他们离开CNA)

9。你必须至少有一个GitHUB账户提交拉请求DWF-Database和DWF-Database-Artifacts回购

10。一旦CVE公开(例如,你有固定的问题)你必须在24小时内告诉DWF(通过将请求DWF-Database-Artifacts至少和DWF-Database)使用当前使用的最低DWF-Database-Artifact规范(https://github.com/distributedweaknessfiling/DWF-Database-Artifacts/blob/master/JSON-file-format-CURRENT.md)

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com