再保险:CVE自动化工作组章程

一个评论,这不是我偏见开源倡导者,但我人不得不处理开源和闭源,我认为还是值得说明一下:

1)在一般授予使用许可开源,不能撤销我们做一些真正愚蠢的(短)

2)开源通常是可用的,坏的情况下我们可以保持档案的使用

例如一些问题闭源:当人们从克里米亚,古巴、伊朗、朝鲜、苏丹和叙利亚CVE想做什么?如果他们有0软件预算,但是作为学生有时间/ CVE倾向呢?等等。当软件缺乏一个特性,或有安全缺陷,供应商不会提供一个更新吗?

从长期可持续发展的角度来看,我认为我们需要控制我们的软件堆栈和理想情况下使用一个服务栈是中性的(如github,我们可以最糟糕的情况下运行这个自己)大于任何短期使用闭源/授权软件的优势。

2018年5月17日,星期四,上午56,Levendis,克里斯<clevendis@mitre.org>写道:

嗨,克里斯,我把宪章的原则如下:

•使用免费和开源解决方案。避免需要适当的解决方案,关闭系统,或不兼容CVE的使用条款

我同意这一原则,但认为它是不完整的。使用和管理效率和可伸缩性是重要的因素在考虑任何潜在的解决方案。有效性是处理由另一个的原则,但它可能是一个非可和低效率的解决方案是有效的。换句话说,它工作,但是它太昂贵的工时管理。声明说:

•使用免费和开源解决方案。避免需要适当的解决方案,关闭系统,不合理的可伸缩的支持项目增长,劳动密集型管理或不兼容CVE的使用条款。

我还建议编号下的子弹的每个部分,这样我们可以参考他们的一些国家而不是子弹,每次我们需要参考它的书面或口头的讨论。

C

克里斯Levendis

manbetx客户端首页

(W) 703-983-2801

(C) 703-298-8593

clevendis@mitre.org

来自:约翰逊,Christopher s(美联储)[mailto:christopher.johnson@nist.gov]
发送:星期四,2018年5月17日上午11点
:CVE编委会讨论<cve-editorial-board-list@mitre.org>
主题:CVE自动化工作组章程

CVE董事会成员,

我建议附加CVE自动化工作组章程由董事会批准。请检查这个邮件列表的宪章,并提交你的投票到美国东部时间周四中午,5月31日。投票结果将在6月13日公布^th董事会会议。

合同也可以从GitHub库:

https://github.com/CVEProject/automation-working-group /团/主/ CAWG_Charter_DRAFT.md

谢谢你！

克里斯·约翰逊

CVE自动化工作小组

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系: secalert@redhat.com