CVE/CNA覆盖范围

到：cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题：CVE/CNA覆盖范围
从：kurt seifried <kseifried@redhat.com>
日期：2017年3月29日，星期三13：07：30 -0600
身份验证重分：spf = none（发件人IP是129.83.29.2）smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none（未签署消息）header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = none header.from = redhat.com;
交货日期：THU 3月30日07:47:22 2017
列表助手：<mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
列表所有者：<mailto：cve-editorial-board-list-request@lists.mitre.org>
列表订阅：<mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
list-unsubscribe：<mailto：cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
发件人：<所有者cve-editorial-board-list@lists.mitre.org>
spamdiagnosticmetadata：6CDB8BFC89744BD8BFEE511E3E65AA05
spamdiagnosticOutput：1：2

所以有人要求CVE供Glassfish Open服务器

由Oracle赞助的项目。传统上，我将“由“拥有”它的Quasi赞助”（例如，许多红帽赞助的东西我们为CVES所做的事情，因为我们参与其中很大程度上）。通过这种逻辑，这将使这个开源项目属于Oracle的空间，所以我想我的问题是：

Oracle是否希望这个项目属于其CNA/覆盖范围，还是认为“由”赞助的武器长度可能更大？

如果Oracle不想成为CNA，那么DWF将是下一个（开源），如果Oracle确实想成为CNA，我将把请求重定向到他们。

通常，我们应该应用此逻辑吗？我认为在这里有帮助的一件事是让CNA在可能的情况下明确宣布其涵盖的内容，因此记者不必猜测/狩猎。

- -

Kurt Seifried-红色帽子 - 产品安全 - 云
PGP A90B F995 7350 148F 66bf 7554 160d 4553 5E26 7993
红帽产品安全联系人： secalert@redhat.com