再保险:新研究员的指导方针

嗨,肯特,

尽管新闻文章(万博下载包http://cve.mitre.org/万博下载包news/archives/2017/news.html january122017_Researcher_Reservation_Guidelines_Document_Now_Available)读起来就像它是一个新文档,文档的内容没有改变时,2016年8月以来第一次与董事会和公众分享在Github (http://cveproject.github.io/docs/requester/reservation-guidelines.html)。唯一的变化是,文档是搬到CVE网站。

至于粗体的句子,你正确地指出,很显然应该重新审视。这种说法,在文档和其他潜在的语句可能不结合当前过程使用的团队。我好立即删除这个句子开始”或“从别人那里如果没有异议。其他动作项,你也正确的表,会安排电话讨论在未来的董事会以及提供充足的时间董事会审查文档。

我们有一个董事会会议下周的周三。然而,我的假设是,这是太短的通知审查和提供反馈。我的建议是,董事会成员审查和提供反馈在当前的指导方针和提供反馈以下董事会电话(2月8)。我们可以讨论任何措施是根据收到的反馈会议。有人反对这个计划吗?

克里斯棺材

CVE团队

来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Landfield,肯特B
发送:2017年1月20日,星期五,大礼堂开幕
:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:新的研究指南

我看到斜方宣布了新的研究人员预订指南……在新准则:

4所示。请求第三方协调CNAs或电子邮件列表。

如果CVE ID不能通过CNA要求,考虑与第三方联系协调等紧急响应或脆弱性分析团队(例如,CERT / CC),尤其是当有问题联系受影响的供应商。如果请求被接受,该组织将致力于CVE ID分配问题。或者,你可以发布的信息邮件列表如BugTraq或oss-security,如果接受,这个问题最终将分配一个CVE CNA ID。

这是从哪里来的?我相信你设置CVE更多研究员鄙视不成为一个正式的过程和特异性。如果人们预期CVE因为他们发布一些随机写的邮件列表,他们会失望当他们没有得到一个。

这个文档应该被送到董事会名单公布之前。这是讨论的F2F走出房间的时候吗?我找不到该公司公布董事会名单。我印象中斜方已同意让董事会了解在这些类型的事情公之于众。校准和透明的行动在哪里?

我相信“或声明应该被重写为真正的清晰和更少的歧义或完全应该被删除。我相信这对我们来说是一个错误,将导致问题在未来。具体而言,是清晰的。不要总以这样一种方式来创建研究员社区内不合理的期望……

为什么早些时候董事会不知情呢? ? ?

- - - - - -

肯特Landfield

英特尔公司

+ 1.817.637.8026