(
日期:][
下一个日期][
线程:][
线程下][
日期索引][
线程索引]
Re:所以一些盲点,因此CVE的服务的讨论
- 来:Kurt Seifried <kurt@seifried.org>,cve-editorial-board-list <cve-editorial-board-list@mitre.org>
- 主题再保险:所以一些盲点,因此CVE的服务的讨论
- 从莫尼耶:帕斯卡<pmeunier@cerias.purdue.edu>
- 日期-0400年:星期四,2018年10月25日14:29:57
- Authentication-results:防晒系数= softfail(发送者的IP 192.52.194.235) smtp.mailfrom = cerias.purdue.edu;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =失败行动=没有header.from = cerias.purdue.edu;
- 交货日期:2018年10月25日15:01:09星期四
- 在回复:< CABqVa3_GT0qr2Y2Svn3J8_s0rJGELSrXTOnDL0PaO1GoRdd5 = Q@mail.gmail.com >
- 引用:< CABqVa3_GT0qr2Y2Svn3J8_s0rJGELSrXTOnDL0PaO1GoRdd5 = Q@mail.gmail.com >
- 应答:<pmeunier@cerias.purdue.edu>
- Spamdiagnosticmetadata:NSPM
- Spamdiagnosticoutput:1:9 9
我贪婪地想看到“一切”(合理)可能利用CVE,但我会尽量提供一个更微妙的回答。如果你认为这是没有剥削,这是修补无处不在,它可能仍然是有用的CVE指等学术目标教学、分类(本体论)和研究新的安全的方法和技术。它也可以用于历史和stats-related利益。如果没有打补丁的无处不在,和一个顾问或某种形式的沟通可能是有用的人,然后CVE标准应该是良好的实践。在更高的层面,等待和需要的证明利用分配CVE将之前与CVE贡献的根本原因,是防止和限制使用。它可能导致放弃CVE在修补过程中,国际海事组织在安全实践回归。等待利用发生会弄巧成拙。理想的CVE努力向是从来没有被利用,因为每个人都及时他们攻击前的尽职调查,而不是因为缺乏潜在攻击者的兴趣。帕斯卡在星期四,2018-10-25在-0600年,霎时一切都Kurt Seifried写道:>所以我们有一个好的服务CVE今天讨论和一些被> >盲点识别,最大的一个(和董事会将不得不>处理):> > CVE数据库——实践与理论?> >在过去CVE数据库主要是利用>漏洞,虽然我们不需要证明开发>一般>最相当的自我解释,我们有类似Linux内核> >我们,出于谨慎,分配很多CVE (>http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux +内核)因为>通常这些缺陷发现可利用的有足够的工作。> >不过的一个方面是与软件我们不知道它是否> >被利用,我们甚至不知道在某些情况下运行这个> >是谁的东西。> >这使我们到云,大多数云提供商不少>日志、>和在某些情况下绝对可以说“是的>服务X有一个漏洞,但是我们检查我们所有的日志,它从未>利用/触发”,所以在这种情况下,我们绝对有>脆弱,>,但我们也有(据我们所知)最终证明它从来没有>利用。> >在这种情况下,如果我们有证明它不是利用,应该得到反暴力极端主义> > ?我可以看到参数两方面,但是我想买> >董事会承担。>