再保险:CVE托管服务

只是一个注意:

1)内部软件(内部使用或作为服务)有时会公开发布,有vulns跟踪通过CVE会更容易管理整个生命周期的时候上市。

2)世界已经搬到一个服务模型,大多数应用程序并不是那么有用,而一些在线服务/ API,这绝对是我知道服务使用价值是脆弱的。

3)还有一个强有力的推动安全透明度(例如CloudSecurityAlliance几百恒星CAIQ在注册表条目,我知道大多数云服务有一个等许多大型企业/政府现在需要一个条目之前采购的服务),这是这个行业会做的,理想的CVE应该是其中的一部分。

星期四,2月16日2017 6:08点,马尼恩的艺术<amanion@cert.org>写道:

在2017-02-15 15:00,安迪Balinsky (Balinsky)写道:

>我觉得最大的好处就是统一讨论一个问题。
>如果一个SaaS漏洞被披露,然后学术或在线
>讨论想参考脆弱性与特异性
>消除歧义从一些类似的漏洞。,我想是
>只剩下方面的争论。我不知道这是一个引人注目的。

许多在这个名单上知道,我赞成任何漏洞能够
得到一个CVE ID。漏洞都是抽象的东西,我们需要
确定他们能够谈论他们,句号。是的,SaaS,
通常没有行动所需的用户或漏洞扫描器。

CNA, CERT / CC遵循公司3。

问候,

——艺术

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com