回复：CVE/CNA覆盖范围

抱歉，我在手机上，我打算删除该草稿，但我发送了它（我已经起草了它，但随后仔细检查了产品名称）。

2017年3月29日星期三，下午1:20，Kurt Seifried<kseifried@redhat.com>写道：

啊，我想这很清楚地回答了我的问题，我将重定向请求者。谢谢！

2017年3月29日星期三，下午1:19，威廉姆斯，肯<ken.williams@ca.com>写道：

他们先前已发布了CVE标识符。

前任。http://www.oracle.com/technetwOrk/Security-Advisory/cpujan2017-2881727.html＃appendixfmw

问候，

KW

从：所有者cve-editorial-board-list@lists.mitre.org[Mailto：所有者cve-editorial-board-list@lists.mitre.org这是给予的代表Kurt Seifried
发送：2017年3月29日，星期三，下午2:08
到：CVE编辑板列表<cve-editorial-board list@lists.mitre.org>
主题：CVE/CNA覆盖范围

所以有人要求CVE供Glassfish Open服务器

https://glassfish.java.net/

由Oracle赞助的项目。传统上，我将“由“拥有”它的Quasi赞助”（例如，许多红帽赞助的东西我们为CVES所做的事情，因为我们参与其中很大程度上）。通过这种逻辑，这将使这个开源项目属于Oracle的空间，所以我想我的问题是：

Oracle是否希望这个项目属于其CNA/覆盖范围，还是认为“由”赞助的武器长度可能更大？

如果Oracle不想成为CNA，那么DWF将是下一个（开源），如果Oracle确实想成为CNA，我将把请求重定向到他们。

通常，我们应该应用此逻辑吗？我认为在这里有帮助的一件事是让CNA在可能的情况下明确宣布其涵盖的内容，因此记者不必猜测/狩猎。

- -

Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人：secalert@redhat.com

- -

Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人： secalert@redhat.com

- -

Kurt Seifried
kurt@seifried.org