回复：CVE分配/CNA流程概述

这对我来说主要是有意义的。我们如何使导师可以发现？

从：所有者 - cve-editorial-board-list@lists.mitre.org [mailto：lands-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
发送：2016年11月15日23:55
到：cve-editorial-board list
主题：CVE分配/CNA过程概述

我一直在考虑如何分配CVE/创建CNA。

I want to divorce the technical process from the assignment process (I’ve already done this to a large degree with people I deal with, basically it boils down to “please explain the impact of the vulnerability so I can determine if it’s a security vulnerability, and then any details needed to apply counting”, mostly so I can outsource the work and scale myself. To put it bluntly you don’t need to be super technical to understand this most of the time.

因此，我认为所需的角色是“导师”，导师有两个主要工作：确定某事是否是安全漏洞（简单的是/否）并应用CVE计数规则（如果真的很混乱，请在其他导师的指导下进行指导）。本质上，他们提出问题以确定这是否是安全漏洞，以及如何应用计数规则，然后在CVE分配上签名（然后可以自动处理）。他们因作业而被授予荣誉（因为他们从事了与作业相关的工作）。导师可以访问其他导师（最终是DWF和MITER本身），以寻求帮助，如果他们遇到了特别混乱的情况（例如协议级别的漏洞）。

导师也可以提供其他服务（例如协调），但这不是必需的。

从CVE请求方面看起来像：

CVE请求/分配成熟度模型：

1.通过公共渠道请求CVE（例如指导的Web表格），依靠DWF来供导师

2.通过结构化渠道（JSON格式）请求CVE，依靠DWF进行导师

3.通过结构化渠道（JSON格式）请求CVE，有自己的导师

4.部分CNA-具有障碍，但依赖于外部导师

5.完整的CNA-有障碍，有内部导师

目前，我们基本上只有选项＃1和＃5，什么都没有，或者一直是CNA。

＃2的原因是，它使人们使用我们的工具链（SO JSON格式/等），然后更容易进入更成熟的CNA/安全过程。

＃3的原因是，我们可以拥有众所周知的专业导师（例如IoT/Linux人），人们可以为获得CVE提供帮助。

＃4的原因是为正在进行的项目（建立安全团队）提供一个中介步骤。它们可以成为部分CNA，使用外部导师，然后一旦接受培训，他们就可以拥有内部导师做这项工作。

请提供反馈/评论/疑虑，这对您有用吗？什么零件将是一个问题，等等。我明天还将在董事会通话中提出讨论。

- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人：secalert@redhat.com