RE:所以一些盲点,因此CVE的服务的讨论

来:Kurt Seifried <kurt@seifried.org>,cve-editorial-board-list <cve-editorial-board-list@mitre.org>
主题再保险:所以一些盲点,因此CVE的服务的讨论
从:丽莎奥尔森<elolson@microsoft.com>
日期:结婚,2018年10月31日17:20:47 + 0000
接收语言:en - us
Authentication-results:防晒系数=失败(发送者的IP 192.52.194.235) smtp.mailfrom = microsoft.com;imc.mitre.org;dkim =通过(签名验证)header.d = microsoft.com, imc.mitre.org;dmarc =通过行动=没有header.from = microsoft.com;
Authentication-results-original:防晒系数=(发送者的IP) smtp.mailfrom =elolson@microsoft.com;
交货日期:11月1日星期四07:55:49 2018
Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = microsoft.com;s = selector1;h =:日期:主题:问题:内容类型:MIME-Version: X-MS-Exchange-SenderADCheck;bh = t2 + zRxWiauoF + o5QuQh7SEL2Ln16b1h2dVNg5l9K330 =;b = gAf9ie5UNJQ99PYccYNqcmOe076WGyGnVWyXO5b7NqOyN76JG / iF3YKFME7eSMNzRqiDZTeu4nn5M2uv6JzUDTRRECMAfMWFAwsA + McObEypYRoumx9YL4B5pwBIofNoJGmswwLYw6Kj8iTKX1Yp8iF / i6HeHgqyFr4taeF7hag =
在回复:< CABqVa3_GT0qr2Y2Svn3J8_s0rJGELSrXTOnDL0PaO1GoRdd5 = Q@mail.gmail.com >
Msip_labels:msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_enabled = True;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_siteid = 72 f988bf - 86 f1 - 41 - af - 91 ab - 2 - d7cd011db47;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_owner =elolson@microsoft.com;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_setdate = 2018 - 10 - 31 t17:20:44.2556871z;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_name =一般;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_application =微软Azure信息保护;msip_label_f42aa342 - 8706 - 4288 - bd11 ebb85995028c_extended_msft_method =自动;敏感性=一般
引用:< CABqVa3_GT0qr2Y2Svn3J8_s0rJGELSrXTOnDL0PaO1GoRdd5 = Q@mail.gmail.com >
Spamdiagnosticmetadata:NSPM
Spamdiagnosticoutput:1:9 9
Thread-index:AQHUbIjdBC / zAWR1XkebH8tI0l8ImaU5okng
Thread-topic所以一些盲点,提出由于CVE服务的讨论

我一直在头脑风暴与同事这是微软。附加的文档将我们的思想,并提供了一些例子。

来自:Kurt Seifried < kurt@seifried.org >
发送:星期四,2018年10月25日,32
:cve-editorial-board-list < cve-editorial-board-list@mitre.org >
主题:所以一些盲点,因此CVE的服务的讨论

所以我们有一个好的服务CVE今天讨论和一些盲点,最大的一个(和董事会将不得不处理):

CVE数据库——实践与理论?

所以在过去的CVE数据库主要是可利用的漏洞,虽然我们不需要证明开发通常大部分都很自解释的,我们有类似Linux内核,出于谨慎,分配大量的CVE (http://cve.mitre.org/cgi-bin/cvekey.cgi?keyword=linux +内核),因为这些缺陷通常被发现可采有足够的工作。

然而与软件的一个方面是我们不知道它是否已被利用,我们甚至不知道在某些情况下运行这个东西。

这使我们到云,大多数云提供商做相当多的日志记录,并且可以在某些情况下肯定说“是的服务X有一个漏洞,但是我们检查所有的日志,它从未利用/触发”,所以在这种情况下,我们绝对有一个漏洞,但是我们也有(据我们所知)最终证明它从来没有利用。

所以在这种情况下,如果我们有证明它不是利用,应该得到一个CVE吗?我可以看到参数两种方式,但我想让董事会承担。

- - -

Kurt Seifried
kurt@seifried.org

附件:INC3-5 Proposal.docx
描述:INC3-5 Proposal.docx

跟进:
- Re:所以一些盲点,因此CVE的服务的讨论
  - 来自:帕默< pmeunier@cerias.purdue.edu >

引用:
- 所以一些盲点,因此CVE的服务的讨论
  - 来自:Kurt Seifried < kurt@seifried.org >