(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

再保险:文本发送人员RE: OSS作业吗?

Ø DWF CNA的注册时必须声明他们所覆盖。

我认为当我们讨论这是粒状的覆盖产品供应商列表/维护者是例外,而不是常态。换句话说,大多数供应商将覆盖所有的产品。我认为我们谈论谷歌、Apache和另一个如果我没记错的话。

国际海事组织…如果供应商希望只覆盖他们的产品的一个子集,对他们应该负担保持CVE程序更新,部分产品是什么。我们甚至希望他们提供“不覆盖”列表,因为它更容易快速识别当另一个CNA应该干预和提供保险。后者将有用的步骤1和2上市由库尔特,即。,如果X公司的产品是和不是在列表,检查供应商X澄清,因为它可能是一个新产品或他们错过的东西。

克里斯

来自:Kurt Seifried (mailto: kseifried@redhat.com)
发送:星期一,2016年12月19日20点
:Landfield,肯特B < kent.b.landfield@intel.com >
答:棺材,克里斯< ccoffin@mitre.org >;耶利哥< jericho@attrition.org >;cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:再保险:文本发送人员Re: OSS作业吗?

我的很简单:

DWF CNA的注册时必须声明他们所覆盖。

DWF CNAs必须提供一个联系方式以电子邮件的形式或适当的bug追踪器

DWF CNA必须保持他们的最新声明如果他们停止CVE覆盖一些他们以前覆盖。

DWF CNA的(不是必须)能保持最新的声明,如果他们开始为他们分配cf封面

如果我得到一个CVE请求CNA的一部分东西,我要么没有明确覆盖:

1)分配一个CVE(坏,CNA应该更新他们的信息)

2)问CNA如果他们盖并等待一个回复,如果他们支付他们可以把它(更新信息),或我们回到选项# 1和DWF分配。

我怀疑大多数地方不会下降CVE经常报道,没有点让他们更新他们直到它变成一个问题。本质上这由CVE请求而不是“让我们有一个完美的数据库神奇地最新的报道”(它永远不会)。

在星期一,2016年12月19日下午2:01,Landfield,肯特B <kent.b.landfield@intel.com>写道:

https://cve.mitre.org/cve/data_sources_product_coverage.html产品

这是目前颗粒不够吗?你寻找更精确的信息吗?因为如果你这可能是一场噩梦来管理供应商引入新产品,EOS和停产老状态产品,等。大公司,我说的是内部管理也……

异常可能会更容易,如果你正在寻找细节。供应商X支持所有产品除了产品BBBXXXCCC AAAVVVDDD……

推荐- - - - - -

肯特Landfield

+ 1.817.637.8026

来自:Kurt Seifried <kseifried@redhat.com>
日期:星期一,2016年12月19日下午2点
:“棺材里,克里斯" <ccoffin@mitre.org>
答:耶利哥<jericho@attrition.org>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org肯特Landfield < >,kent.b.landfield@intel.com>


主题:再保险:文本发送人员Re: OSS作业吗?

将帮助是有一个列表,CNAs宣布他们所覆盖,这些数据很容易消耗如果有人搜索/开始输入您可以提供一个建议(例如apache)。

在星期一,2016年12月19日下午12:54,棺材,克里斯<ccoffin@mitre.org>写道:

>是的,这是我的观点。博客我引用的措辞表明,文本斜方发送可能不符合“首先检查这些链接”。这听起来像是他被告知去DWF”“任何OSS。因此我的问题澄清。

CVE团队分析师指导请求到适当的中央社。我们确实有一些模板文本发送的请求应该由DWF CNA处理,但是这只是基本信息如何提交一个请求。此外,我们已经开始提供请求的文本CVE web表单请求,不需要重新输入DWF一侧的一切。

注意,CNA列表已经和适当的路由请求只会变得更加复杂。肯特认为早些时候,我们谈到朝着一个着陆页,我们可以实现某种形式的自动化处理这个路由及时和一致的方式(例如,如果微软产品= =,发送请求secure@microsoft.com,如果open_source = = True和产品! =“Apache”,发送请求DWF,等等)。

如果你有任何建议请通过他们前进。

克里斯

- - - - - - - - - - -原始消息
来自:owner-cve-editorial-board-list@lists.mitre.org[mailto:owner-cve-editorial-board-list@lists.mitre.org代表耶利哥
发送:星期一,2016年12月19日,十二24点
肯特:Landfield, B <kent.b.landfield@intel.com>
答:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:Re:文本是被送到研究Re: OSS作业吗?

重要性:高

肯特在星期一,2016年12月19日,Landfield B写道:

:参考....两点
:
:https://cve.mitre.org/cve/data_sources_product_coverage.html产品
:https://cve.mitre.org/cve/cna.html

是的,这就是我的观点。博客我引用的措辞表明,文本斜方发送可能不符合“首先检查这些链接”。这听起来像是他被告知去DWF”“任何OSS。因此我的问题澄清。

:在12/19/16,8:13我。”owner-cve-editorial-board-list@lists.mitre.org肯特代表Landfield B " <owner-cve-editorial-board-list@lists.mitre.org代表kent.b.landfield@intel.com>写道:
:
:我们能请到适当的地方吗?如果你有一个
:对这个决定,董事会积极讨论问题,请
:这个问题。没有理由交叉发送每个消息
:两个列表。这是一个车道由董事会讨论的议题也游泳
:在面对面会议讨论我们在罗克维尔市,马里兰州
:11月。

并没有质疑的决定,质疑这是如何实现的CVE消费者请求ID。对我来说,这是一个板问题,影响中央社,所以我发了两个列表。



- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com



- - -

- - -
Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com

页面最后更新或审查:2016年12月19日