再保险:Multipel CNAs禁运下软件和协调问题

不,他发邮件给一组txt文件发行版,斑驴,不是詹金斯。詹金斯帖子oss-security@等等,也给我一个csv文件。

星期四,2月15日,2018年在19点,耶利哥<jericho@attrition.org>写道:

2018年2月15日,星期四Kurt Seifried写道:

:可能是因为他一个CSV文件发邮件给我,我说……

我不明白……

2018 - 6356是斜接我所信仰的?”他发邮件给你一个CSV文件”
两个(?)vulns需要作业,你/ DWF这两个
作业吗?

你的回复不能解释为什么这里有混合CNA作业,和
什么程度的协调,如果任何,有关。为什么詹金斯
从斜方请求一个ID,然后两个DWF CNA的?这似乎是一个
CNA过程中崩溃。

道歉,我只是觉得这一系列的作业建议有一个
水平的两个区域之间的协调时,可能没有。

布莱恩

:在星期四,2月15日,2018年在剩点,耶利哥<jericho@attrition.org>写道:
:
:>很多想法,但是也许今天有趣的任务
:>詹金斯有助于讨论?如何做一个詹金斯披露
:两三个cf CNAs >走?我认为必须协调
:>进步呢?
:>
:> cve - 2018 - 1000067詹金斯LTS安全- 506
:> cve - 2018 - 1000068詹金斯LTS安全- 717
:2018 - 6356 > cve -詹金斯LTS安全- 705
:>
:>詹金斯咨询,这封电子邮件,只包括2018 - 6356名
:>“CVE等待”的实例。
:>
>。b
:>
星期四:>,2018年2月15日,帕斯卡莫尼耶写道:
:>
:>:另一种方法可能汇款或者其他标准CNAs之间
:>,
:>:类型的情况下,提前解决重叠的范围。为
:>的例子,CNAs
:>:可能同意监控重叠列表,或股份唯一的要求
:>
:>:负责监控某个源或类型的来源。
:>:
:>:帕斯卡
:>:
:>:在星期四,2018-02-15在-0700年十六36,Kurt Seifried写道:
:> >我们现在有一个失败案例,贴了禁止或限制的问题
:>
:> >发行版名单,我没有明确要求分配CVE的,但是,
:>
:> >原来CERT也分配cf。CERT发表第一,所以我
:>“拒绝”
我:> > (https://github.com/CVEProject / cvelist /拉/ 314)。
:> >
:> >这会带来的问题我们做什么当一个记者
:>问题(s)
:> >,不显式地问一个CNA cf,但CNA看到不止一个
:>,
:> >,想为它分配一个CVE因为会显著的问题
:> >受益于cf吗?大多数作用域不重叠,有一个明显的
:>例外,
:> >“开源”。
:> >
:> >所以想法/意见吗?我们应该只分配一个CVE如果问,然后呢
:>如果不是
:> >要求默认某种通知协议吗?我们应该简单
:>
:> >等“第一发布”规则对公共问题?其他选项吗?
:> >
:> >
:>:
:>
:
:
:
:——
:
:Kurt Seifried——红帽产品安全——云
:PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
:红帽产品安全联系:secalert@redhat.com

:

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com