再保险:CVE托管服务

来马尼恩:艺术<amanion@cert.org耶利哥>,<jericho@attrition.org莫尼耶>,“帕斯卡" <pmeunier@cerias.purdue.edu>
主题再保险:CVE托管服务
从:“布斯,哈罗德(美联储)”<harold.booth@nist.gov>
日期:2017年2月23日,星期四13:36:50 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = nist.gov; mitre.org;dkim = none(消息没有签署)header.d =没有;
Cc:cve-editorial-board-list <cve-editorial-board-list@LISTS.MITRE.ORG>
交货日期:2017年2月23日09:24:31星期四
在回复:<d78f00cb - 280 e - a674 - 9264 edf9ed3b4507@cert.org>
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:<a4305a50 ad19 - 4025 - 842 e - d89337b8269c@cisco.com> <379年ddb8a f1d2 - 4 e4b - 9307 cfbfdb0521f5@intel.com> <8942442 - 17 - e2 - 4例乙脑- 9943 - 648 f27125aa6@cisco.com> <079 d4575-d5ef-be7c-bdfb-f817e625b02e@cert.org> <卡诺= Ty052fUY + BUC2zziFeiJ = cBPQWUbQozm-9ymKDkBuxo2Xg@mail.gmail.com > <ad8435b9-ba08-a5ee-25ef-cf314c75e0e5@cert.org> <1487797534.7382.18.camel@cerias.purdue.edu> <alpine.LNX.2.00.1702221518090.19881@forced.attrition.org> <d78f00cb - 280 e - a674 - 9264 edf9ed3b4507@cert.org>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2
Thread-index:AQHSh8Aj1e59GSRwMUG57Y4RbN3D2aFqdf6AgAAGyICAAR9HAIAIQX6AgAGqPYCAAAeIAIAAA8oAgAAFkYCAAQfBcA = =
Thread-topic:CVE托管服务

我承诺在服务调用来描述一个用例。这里有一些分支:一个受欢迎的服务/网站有漏洞一段时间。这个漏洞创造了一个接触为用户/消费者服务的网站。用户/消费者想回去确定他们已经因为这个暴露的影响。为了做到这一点,他们需要一个日期范围的描述问题(即服务的哪一部分是脆弱),潜在影响他们(用户)和潜在的(或实际的)。虽然有利于如果服务提供者有所有这些信息,他们可能不会,现在需要有一个长期存在的标识符来协调不同利益相关者之间的讨论(我也认为只是服务提供者和客户之间的沟通是足够的标识符的原因)。我同意收集这些信息并不容易,但我不认为这并不意味着是不可取的。最低限度,我认为这个用例演示了一个标识符的必要性。或许一旦证明这些信息是重要的,那么它会被更为常规的被跟踪和可用。希望我不要太遥远。 -----Original Message----- From: owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org马尼恩的艺术代表发送:周三,2月22日,2017年4:39点:耶利哥< jericho@attrition.org >;帕默< pmeunier@cerias.purdue.edu > Cc: cve-editorial-board-list < cve-editorial-board-list@LISTS.MITRE。ORG >主题:Re: CVE托管服务2017-02-22 16:19,耶利哥写道:结婚>,2017年2月22日,帕斯卡贝写道:> >:恐怕条目的描述,对问题> >服务:像facebook.com,将通常非常模糊,无法核实的。>我>:对现有条目,读起来像“问题X > >:不同于cve - 1234 - 5678和cve - 1234 - 7890”。>问题是什么?>:这可以从中学习到什么?我们不教> >:应该做些什么,或者教做得更好吗?不知道。> >好点。> >还认为,这样的描述几乎从不携带>版本信息,基于*近似*日期。 We often hear > Facebook "fixed a vuln" but days or weeks after it really happened. > Since versions are a huge tool for determining potential duplicate > issues, without that would be painful. Agreed, there's likely pain for cataloging purposes (de-duplication) and low value for engineering purposes. But the overriding factor for me is *identification* (and yes, for ID to work, it has to be possible to distinguish different vulnerabilities). CVE throws light on vulnerabilities. Probably weekly, without looking, I come across issues that don't have CVE IDs assigned and therefore aren't noticed by people who might benefit from knowing. I make a note to send in a minimum viable entry, but haven't yet. Oh, services have CVEs? Airplanes? Dentist office software? Oh, large services freely admit they have vulnerabilities, and fix them? Users/customers actually like such transparency? Vulnerabilities are common and everywhere and aren't terribly special individually. Name them and go about your choice of defensive activities, probably including vulnerability management. - Art

跟进:
- 再保险:CVE托管服务
  - 来自:耶利哥< jericho@attrition.org >

引用:
- CVE托管服务
  - 来自:”安迪Balinsky (Balinsky)”
- 再保险:CVE托管服务
  - 来自:“B Landfield,肯特”< kent.b.landfield@intel.com >
- 再保险:CVE托管服务
  - 来自:”安迪Balinsky (Balinsky)”
- 再保险:CVE托管服务
  - 来自:马尼恩艺术< amanion@cert.org >
- 再保险:CVE托管服务
  - 来自:Kurt Seifried < kseifried@redhat.com >
- 再保险:CVE托管服务
  - 来自:马尼恩艺术< amanion@cert.org >
- 再保险:CVE托管服务
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- 再保险:CVE托管服务
  - 来自:耶利哥< jericho@attrition.org >
- 再保险:CVE托管服务
  - 来自:马尼恩艺术< amanion@cert.org >

上一页的日期:再保险:教育的建议
下一个按日期:再保险:CVE托管服务
前线程:再保险:CVE托管服务
下一个线程:再保险:CVE托管服务
指数(es):
- 日期
- 线程