再保险:CVE分配/ CNA过程概述

我喜欢导师帮助作业和内容保持一致的想法。

我担心的是我们如何训练和识别这些导师吗?这不是一门精确的科学,需要体验到适当的水平的判断。

我认为它们很可能会有很大的价值并帮助CVE规模好啦。

斯科特

---

来自:代表Kurt Seifried owner-cve-editorial-board-list@lists.mitre.org < owner-cve-editorial-board-list@lists.mitre.org > < kseifried@redhat.com >
发送:2016年11月15日,周二,11:54:47点
:cve-editorial-board-list
主题:CVE分配/ CNA过程概述

我一直在思考我们如何分配cf /创建CNAs。

我想离婚的工艺流程作业过程(我已经这样做在很大程度上与我打交道的人,基本上它归结为“请解释脆弱性的影响所以我可以确定这是一个安全漏洞,然后任何细节需要应用计数”,主要是我可以自己外包工作和规模。坦率地说,你不需要超级技术大部分时间要理解这一点。

因此我认为所需的角色是一个“导师”,导师有两个主要工作:也即将决定如果一个安全漏洞(简单yes / no)和应用CVE计数规则(在其他导师的指导下如果真的混乱)。本质上他们问问题来确定这是一个安全漏洞,以及如何应用计数规则,然后签署CVE分配(可以自动处理)。他们有信贷的分配(因为他们做了分配相关工作)。导师可以访问其他导师(最终DWF和斜方本身)寻求帮助,如果他们遇到一个特别混乱的情况(如协议脆弱性水平)。

导师还可以提供其他服务(如协调),如果他们愿意,但这不是必需的。

从CVE请求这样子:

CVE请求/任务成熟度模型:

1。请求CVE通过公众渠道(如引导web表单),依靠DWF的导师

2。请求CVE通过结构化的渠道(JSON格式),依靠DWF的导师

3所示。请求CVE通过结构化的渠道(JSON格式),有自己的导师

4所示。部分CNA -块,但依赖于外部导师(s)

5。满CNA -块,内部导师

目前我们只有选择# 1和# 5,什么都没有,或全部CNA的方式。

# 2的原因是,它让人们使用我们的工具链(所以JSON格式/等等),然后让它更容易进入更成熟CNA /安全的过程。

# 3的原因是,我们可以有专门的导师(比如一个物联网/ Linux的人)是众所周知的,人去协助cf。

# 4的原因是为项目提供一个中间的步骤,在成熟的过程中(在构建安全团队)。他们可以成为部分CNA,使用外部导师,一旦他们可以有一个内部培训导师(s)来做这个工作。

请提供反馈/评论/担忧,这为你工作吗?哪些部分将是一个问题,等等。我也会把它明天讨论董事会电话。

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com