Perché il database CVE ufficiale non elenca i nomi dei reporter?

Il database CVE consente a "Discoverer (s) / Credits" di essere registrati , come mostrato nel MITER CVE formare :

Tuttavia,laguidaperquelcampoindica:

Pleaseindicatetheindividual(s)ororganization(s)thatfoundthevulnerabilityorreportedthevulnerabilitytoyou.ThisinformationwillnotbeincludedinthepublicCVEentry.

Nel2000,SteveChristeyaveva questo commento sull'editoriale CVE mailing list:

With respect to Marcus' comments, it is clear that some vulnerability discoverers want proper credit for discovering something, and it is becoming a more common practice (consider Microsoft's acknowledgement policy and recent SGI advisories).

Il che implica che al momento dell'avvio di CVE si presupponeva che gli emittenti non desiderassero credito. Oggi sembra strano; segnalare le vulnerabilità - in modo responsabile - è un lavoro rispettabile che può anche essere pagato. Ma 25 anni fa, questo era lontano dal caso. Le persone potrebbero temere giustamente rappresaglie legali e danni alla reputazione, se fossero responsabili della pubblicazione di una vulnerabilità. Per come l'avrebbero mai trovato se non fossero malvagi hacker?

Il processo CVE è stato uno dei numerosi agenti di cambiamento, rendendo possibile "possedere" la scoperta di una vulnerabilità più facilmente oggi.

Il metodo comune di attribuzione è tramite l'annuncio; e in molti casi, il campo Riferimenti del CVE (che è pubblico) indicherà l'annuncio di consulenza originale. (Mi sembra di ricordare che 8lgm aveva un notevole aspetto nelle loro uscite negli anni '90). La recente tendenza dei nomi fantasiosi di ALLCAPS con siti Web di tendenza è solo la stessa cosa.

(Questo lascia senza risposta come convincere una terza parte (beh, 4 ° - Discoverer / Reporter, MITER / CNA, Venditore - quei tre parlano. Stai chiedendo di qualcuno separato da quei tre, e io non conosco il rispondi a questo.)