再保险:CVE的当前状态

我很喜欢这样。有助于调整报告。

问候,

贝弗利M雀,PMP PSIRT项目经理 产品安全办公室 7001年开发驱动 办公室3 n-c1 Morrisville数控27560	+ 1 919 294 5873 beverlyfinch@lenovo.com
Lenovo.com 推特|脸谱网|Instagram|博客|论坛

来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
发送:星期四,2017年5月25日9:02点
:棺材,克里斯
答:cve-editorial-board-list
主题:再保险:CVE的当前状态

目前我们有“国家”“CVE_data_meta”,我建议我们可以添加STATE_DETAIL STATE_DESCRIPTION,例如:

“状态”:“拒绝”,

:“STATE_DETAIL DUPLICATE_ASSIGNMENT”

“STATE_DESCRIPTION”:“一切都是谬误”

所以我们必须达成一致的标签STATE_DETAIL然后STATE_DESCRIPTION可以对人类自由形式的解释发生了什么事。

2017年5月25日,星期四,晚上21点,棺材,克里斯<ccoffin@mitre.org>写道:

所有人,

在董事会会议上讨论在5/24,这是当前CVE州以及一些描述(CVE中存在一些常见问题)。的填充和未赋值的,我不认为我们曾经对待这些州在过去,但我认为这样做是有意义的对于这个练习和前进。

未赋值的:CVE从未分配或保留。CVE主列表提供了一个错误消息中有人试图把这个CVE ID。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2001 - 10000

保留:CVE标识符(CVE ID)被标记为“保留”一直保留使用CVE编号权威(中央社)或安全研究员,但它还没有填充的细节。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2000 - 1253

拒绝:CVE ID列为“拒绝”是一种CVE ID不被接受作为一个CVE ID。CVE ID的原因是明显拒绝通常会说描述的CVE ID。

拒绝的原因(不是一个包容列表):

·重复的作业

·重复预订

·在序列或一年重复的错误

·混合问题或双重使用

·合并(相同vuln类型/版本)

·撤销中央社(不是vuln)

·CNA过期池

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8784

争议:当一方不同意另一方当事人主张软件中的一个特定的问题是一个漏洞,CVE ID指定分配给这个问题可能是“争议”。在这些情况下,CVE没有决心,哪个党是正确的。相反,我们记下这一争端的问题,并试图提供任何公开引用,将更好地告诉那些试图理解问题的事实。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8912

填充:CVE条目发表至少一个最少的细节和至少有一个公共的参考。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 0002

克里斯棺材

CVE团队

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com