再保险:Multipel CNAs禁运下软件和协调问题

可能是因为他一个CSV文件发邮件给我,我说……

星期四,2月15日,2018剩点,耶利哥<jericho@attrition.org>写道:

很多的想法,但是也许今天的有趣的任务
詹金斯有助于讨论吗?如何做一个詹金斯披露
从两个必须得到三个cf吗?我认为必须协调
之前呢?

cve - 506 - 2018 - 1000067詹金斯LTS安全
cve - 717 - 2018 - 1000068詹金斯LTS安全
cve - 705 - 2018 - 6356詹金斯LTS安全

詹金斯咨询,这封电子邮件,只包括2018 - 6356名
“CVE等待”的实例。

。b

星期四,2018年2月15日,帕斯卡贝写道:

:另一种方法可能汇款或其他标准CNAs之间,

:类型的情况下,提前解决重叠的范围。例如,必须
:可能同意监控重叠列表,或股份独特的要求
:负责监控某个源或类型的来源。
:
:帕斯卡
:
:在星期四,2018-02-15在-0700年十六36,Kurt Seifried写道:
:>我们现在有一个失败案例,贴了禁止或限制的问题
:>发行版名单,我是没有明确要求分配CVE的,但确实,
:>原来CERT也分配cf。CERT发表第一,所以我“拒绝”
:>我的(https://github.com/CVEProject / cvelist /拉/ 314)。
:>
:>这提出的问题我们做什么当记者一个问题(s)
:>,不显式地问CNA cf,但多个CNA看到它,
:>,想为它分配一个CVE因为会显著的问题
:>从cf中获益?大多数作用域不重叠,一个明显的例外,
:>“开源”。
:>
:>所以想法/意见吗?我们应该只分配一个CVE如果问,然后如果不呢
:>要求默认某种通知协议吗?我们只是应该
:>这样的“第一发布”规则对公共问题?其他选项吗?

:>
:>
:

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com