回复：CVE分配/CNA流程概述

2016年11月18日星期五下午2:22，斯科特·劳勒（Scott Lawler）<scott.lawler@lp3.com>写道：

我喜欢导师的想法，以帮助保持作业和内容一致。

我担心的是我们如何培训和确定这些导师？这不是一门精确的科学，并且需要经验来达到适当的判断水平。

它们将在DWF-CNA注册表中列出，我正在作弊并抓住一些已经有CVE任务的人。同样，这也是对于他们的凌乱作业，他们又可以交给其他导师（例如我），他们确实有经验分裂的婴儿并像以前一样围捕猫。

我确实认为他们可以拥有巨大的价值，但是可以更好地帮助CVE缩放。

我们不能让每个人都成为一个完整的专家，这不会扩展，但是我们绝对可以做“足够好”（就像我们已经做的一样）。

斯科特

---

从：所有者cve-editorial-board-list@lists.mitre.org<所有者cve-editorial-board-list@lists.mitre.org>代表Kurt Seifried <kseifried@redhat.com>
发送：2016年11月15日，星期二11:54:47 pm
到：CVE编辑板列表
主题：CVE分配/CNA过程概述

我一直在考虑如何分配CVE/创建CNA。

I want to divorce the technical process from the assignment process (I’ve already done this to a large degree with people I deal with, basically it boils down to “please explain the impact of the vulnerability so I can determine if it’s a security vulnerability, and then any details needed to apply counting”, mostly so I can outsource the work and scale myself. To put it bluntly you don’t need to be super technical to understand this most of the time.

因此，我认为所需的角色是“导师”，导师有两个主要工作：确定某事是否是安全漏洞（简单的是/否）并应用CVE计数规则（如果真的很混乱，请在其他导师的指导下进行指导）。本质上，他们提出问题以确定这是否是安全漏洞，以及如何应用计数规则，然后在CVE分配上签名（然后可以自动处理）。他们因作业而被授予荣誉（因为他们从事了与作业相关的工作）。导师可以访问其他导师（最终是DWF和MITER本身），以寻求帮助，如果他们遇到了特别混乱的情况（例如协议级别的漏洞）。

导师也可以提供其他服务（例如协调），但这不是必需的。

从CVE请求方面看起来像：

CVE请求/分配成熟度模型：

1.通过公共渠道请求CVE（例如指导的Web表格），依靠DWF来供导师

2.通过结构化渠道（JSON格式）请求CVE，依靠DWF进行导师

3.通过结构化渠道（JSON格式）请求CVE，有自己的导师

4.部分CNA-具有障碍，但依赖于外部导师

5.完整的CNA-有障碍，有内部导师

目前，我们基本上只有选项＃1和＃5，什么都没有，或者一直是CNA。

＃2的原因是，它使人们使用我们的工具链（SO JSON格式/等），然后更容易进入更成熟的CNA/安全过程。

＃3的原因是，我们可以拥有众所周知的专业导师（例如IoT/Linux人），人们可以为获得CVE提供帮助。

＃4的原因是为正在进行的项目（建立安全团队）提供一个中介步骤。它们可以成为部分CNA，使用外部导师，然后一旦接受培训，他们就可以拥有内部导师做这项工作。

请提供反馈/评论/疑虑，这对您有用吗？什么零件将是一个问题，等等。我明天还将在董事会通话中提出讨论。

- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人： secalert@redhat.com

- -

- -
Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人： secalert@redhat.com