Perché il database CVE ufficiale non elenca i nomi dei reporter?

2

Perché né MITER né NVD elencano il / i nome / i del / i reporter / i di un CVE? per esempio. per CVE-2018-1123, né MITER , né NVD dà credito ai giornalisti. Tuttavia, per alcuni CVE, SecurityFocus elencherà i nomi dei reporter.

Se un ricercatore esterno deve dimostrare a una terza parte indipendente di aver segnalato il bug, come farà a farlo?

    
posta Holmes.Sherlock 01.08.2018 - 23:23
fonte

1 risposta

3

Il database CVE consente a "Discoverer (s) / Credits" di essere registrati , come mostrato nel MITER CVE formare :

Tuttavia,laguidaperquelcampoindica:

Pleaseindicatetheindividual(s)ororganization(s)thatfoundthevulnerabilityorreportedthevulnerabilitytoyou.ThisinformationwillnotbeincludedinthepublicCVEentry.

Nel2000,SteveChristeyaveva questo commento sull'editoriale CVE mailing list:

With respect to Marcus' comments, it is clear that some vulnerability discoverers want proper credit for discovering something, and it is becoming a more common practice (consider Microsoft's acknowledgement policy and recent SGI advisories).

Il che implica che al momento dell'avvio di CVE si presupponeva che gli emittenti non desiderassero credito. Oggi sembra strano; segnalare le vulnerabilità - in modo responsabile - è un lavoro rispettabile che può anche essere pagato. Ma 25 anni fa, questo era lontano dal caso. Le persone potrebbero temere giustamente rappresaglie legali e danni alla reputazione, se fossero responsabili della pubblicazione di una vulnerabilità. Per come l'avrebbero mai trovato se non fossero malvagi hacker?

Il processo CVE è stato uno dei numerosi agenti di cambiamento, rendendo possibile "possedere" la scoperta di una vulnerabilità più facilmente oggi.

Il metodo comune di attribuzione è tramite l'annuncio; e in molti casi, il campo Riferimenti del CVE (che è pubblico) indicherà l'annuncio di consulenza originale. (Mi sembra di ricordare che 8lgm aveva un notevole aspetto nelle loro uscite negli anni '90). La recente tendenza dei nomi fantasiosi di ALLCAPS con siti Web di tendenza è solo la stessa cosa.

(Questo lascia senza risposta come convincere una terza parte (beh, 4 ° - Discoverer / Reporter, MITER / CNA, Venditore - quei tre parlano. Stai chiedendo di qualcuno separato da quei tre, e io non conosco il rispondi a questo.)

    
risposta data 02.08.2018 - 03:19
fonte

Leggi altre domande sui tag