再保险:CVE的当前状态

贝弗利,

Ø 你提到在谈到分配未赋值的状态。分配一个国家还是保留这是一样吗?

强调分配实际上是不能和第一个列表中是一个错误,我把它保留的同义词。尤其如此,当考虑CNA分配块或池CVE id。然而,如果使用第二个选项,在STATE_DETAIL分配似乎是适当的,例如,状态:保留,STATE_DETAIL: CNA_ALLOCATION。

Ø 拒绝,如果没有一个定义列表拒绝原因,我鼓励团队定义它们在报道(一致性)。添加“其他”的涵义很广,什么都错过了。

除了包罗万象的范畴,我认为我提供的列表是相当接近。他们定义,但只有通过描述性的散文。同意,我们只需要选择一些名字和。在未来我们可能会识别更多。

Ø 拒绝,如果没有一个定义列表拒绝原因,我鼓励团队定义它们在报道(一致性)。添加“其他”的涵义很广,什么都错过了。

电话在董事会讨论,如果我们在保留CVE id设置过期,似乎适当添加STATE_DETAIL拒绝过期或失效的保留。

克里斯

来自:贝弗利雀(mailto: beverlyfinch@lenovo.com)
发送:周五,2017年5月26日,早上9点
:棺材,克里斯< ccoffin@mitre.org >;Kurt Seifried < kseifried@redhat.com >
答:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:再保险:CVE的当前状态

克里斯,

我更喜欢第二种选择。保持保留并添加STATE_DETAIL状态。

我想不出任何其他细节,但我们应该考虑可能的状态报告要求/统计可能有助于横切或必须在未来。

你提到在谈到分配未赋值的状态。分配一个国家还是保留这是一样吗?

拒绝,如果没有一个定义列表拒绝原因,我鼓励团队定义它们在报道(一致性)。添加“其他”的涵义很广,什么都错过了。一些“断层”需要与每个未来的原因为了是可行的。

拒绝的理由,我认为这意味着CNA CVE从旧单吗?CNA过期池

终于,最后一个问题,相关国家将覆盖前一年未使用cf的失活吗?例如,有人为停用CVE搜索,而不是过期一个被错误分配,然后拒绝。也许停用或过期会工作。我认为有价值的分配状态所以他们不认为它可能在未来出版时间。

问候,

贝弗利M雀,PMP PSIRT项目经理 产品安全办公室 7001年开发驱动 办公室3 n-c1 Morrisville数控27560	+ 1 919 294 5873 beverlyfinch@lenovo.com
Lenovo.com 推特|脸谱网|Instagram|博客|论坛

来自:棺材,克里斯mailto: ccoffin@mitre.org]
发送:周五,2017年5月26日,37
:贝弗利雀;Kurt Seifried
答:cve-editorial-board-list
主题:再保险:CVE的当前状态

库尔特,

这似乎是完全合理的,我喜欢这个主意。别人怎么想?

此外,你和艺术·马尼恩提到了在前一个线程,我们应该扩大保留状态的不同场景。我们同意,认为这将有助于消费者的CVE更好地理解人烟的CVE ID的状态,而不仅仅是将所有标记为保留。有一些选项来实现这个曾指出。

- - - - - -一种选择是保留分割成多个州被艺术。保留将仅用于CVE IDs给CNAs但尚未连着一个漏洞。下一步是创建一个新的国家CVE id是一个漏洞,如分配。

- - - - - -另一个选择是继续保留,但实现STATE_DETAIL,包括各个阶段的CVE ID。库尔特已经在前面提到过的线程。阶段将包括CNA块分配和脆弱性赋值。我不相信会有其他STATE_DETAILS除了这两个,但如果其他人有更多的想法会感兴趣。

克里斯

来自:贝弗利雀(mailto: beverlyfinch@lenovo.com]
发送:星期四,2017年5月25日49点
:Kurt Seifried <kseifried@redhat.com>;棺材,克里斯<ccoffin@mitre.org>
答:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:再保险:CVE的当前状态

我很喜欢这样。有助于调整报告。

问候,

贝弗利M雀,PMP PSIRT项目经理 产品安全办公室 7001年开发驱动 办公室3 n-c1 Morrisville数控27560	+ 1 919 294 5873 beverlyfinch@lenovo.com
Lenovo.com 推特|脸谱网|Instagram|博客|论坛

来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
发送:星期四,2017年5月25日9:02点
:棺材,克里斯
答:cve-editorial-board-list
主题:再保险:CVE的当前状态

目前我们有“国家”“CVE_data_meta”,我建议我们可以添加STATE_DETAIL STATE_DESCRIPTION,例如:

“状态”:“拒绝”,

:“STATE_DETAIL DUPLICATE_ASSIGNMENT”

“STATE_DESCRIPTION”:“一切都是谬误”

所以我们必须达成一致的标签STATE_DETAIL然后STATE_DESCRIPTION可以对人类自由形式的解释发生了什么事。

2017年5月25日,星期四,晚上21点,棺材,克里斯<ccoffin@mitre.org>写道:

所有人,

在董事会会议上讨论在5/24,这是当前CVE州以及一些描述(CVE中存在一些常见问题)。的填充和未赋值的,我不认为我们曾经对待这些州在过去,但我认为这样做是有意义的对于这个练习和前进。

未赋值的:CVE从未分配或保留。CVE主列表提供了一个错误消息中有人试图把这个CVE ID。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2001 - 10000

保留:CVE标识符(CVE ID)被标记为“保留”一直保留使用CVE编号权威(中央社)或安全研究员,但它还没有填充的细节。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2000 - 1253

拒绝:CVE ID列为“拒绝”是一种CVE ID不被接受作为一个CVE ID。CVE ID的原因是明显拒绝通常会说描述的CVE ID。

拒绝的原因(不是一个包容列表):

·重复的作业

·重复预订

·在序列或一年重复的错误

·混合问题或双重使用

·合并(相同vuln类型/版本)

·撤销中央社(不是vuln)

·CNA过期池

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8784

争议:当一方不同意另一方当事人主张软件中的一个特定的问题是一个漏洞,CVE ID指定分配给这个问题可能是“争议”。在这些情况下,CVE没有决心,哪个党是正确的。相反,我们记下这一争端的问题,并试图提供任何公开引用,将更好地告诉那些试图理解问题的事实。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8912

填充:CVE条目发表至少一个最少的细节和至少有一个公共的参考。

例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 0002

克里斯棺材

CVE团队

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com