令人担忧的是,DWF项目导致社区中的“混乱”
负责监督CVE漏洞识别计划的董事会批评了DWF项目发布它所说的“未经授权”的CVE记录。
这常见的漏洞和曝光(CVE)系统是用于编目和跟踪安全漏洞的广泛使用的程序。
由于每天发现和报告的无数漏洞,仲立尔公司的CVE板授权组织作为CVE编号当局(CNA.)允许为错误分配CVE号码。
清除积压
CVE系统旨在为组织,研究人员和安全专家提供跟踪和解决漏洞的手段,每个披露的安全错误接收唯一标识符。
然而,CVE过程并没有没有批评。
回到2016年,斜切被指控积压的火灾受到火灾在CVE任务中,导致担心该计划所召唤的行业的“基石” - 可能会在未来打击网络安全威胁的斗争中不那么重要。
有关的CNA和CVES - 可以允许供应商分配自己的漏洞ID,实际上是否阻碍了安全性?
DWF由Kurt Seifried和Josh Bressers共同创立,是一个基于社区的开源项目,被描述为“现代化和改进安全标识符生态系统”的努力。
DWF项目表明,练习的重点是解决CVE分配过程中的痛点,以及在自动化的帮助下提高速度,延迟和体积。
CVE计划由仲裁公司监督和运营
错误的身份
目前有169注册的CNA.全世界。DWF以前是CNA,但不再以这种能力行事。
此外,由于“缺乏创新和前瞻性”,Seifried将其作为CVE董事会成员作为CVE董事会成员辞职。
DWF有先前说这样,为了防止自身和CVE项目之间的重叠,这些数字被分配到过去在过去的1000000+范围内开始的漏洞 - 并且由于遗留CVE分配每年大约17,000个CVE,不应发生冲突和混乱。
例如,如果现有的CNA在频繁的基础上开始发布100,000个CVVE或更多,则DWF表示它将转移到2000000+范围以维持“显着的缓冲区空间”。
“这是由于CVE标识符包括今年每年允许改变变化的年度,”Seifried说。““这一过程当然可以重复,假设传统CVE分配迅速增长。”
但是,这似乎没有置于CVE板,其中包括来自众多网络安全供应商,学术,研究人员,政府部门和机构以及其他突出的安全专家的代表。
在社区中的混乱
5月27日,组织说过DWF项目不遵循已建立的CVE计划规则,因此,由其发布的任何CVE任务无效,不会包含在主要CVE列表中。
这组织声称DWF通过在CVE-2021-XXXXXXX(百万)范围中“通过发出IDS侵犯CVE命名空间,在社区中导致”混淆“。
“CVE板希望让社区利益相关者明确,以消除由CVE命名空间的未经授权使用造成的混淆,”它说。
问题尚未得到解决,并于4月2日进一步的消息从CVE板上,直接向DWF的联合创始人发表,发表在线。
受到推崇的Google Chrome beplay体育能用吗Web Store排名在流行插件上面的可疑网络扩展
该组织声称DWF已开始“尝试”通过其GitHub存储库发出CVE ID,并且至少推出了至少八个记录。但由于该项目不是一个名为或批准的CNA,发布CVE ID在导致“CVE贡献者和用户社区中的混乱”。
此外,该集团表示,无论使用的编号顺序 - 都可以“破坏整个CVE系统中的公众信任”。
“这种信任的侵蚀会降低CVE社区提供免费公共资源跟踪的能力漏洞并降低网络安全风险,“声明读。
为了将问题从混乱的境界推入法律,CVE委员会还表示,发布未经授权的CVE ID,是CVE品牌,不公平竞争的“盗用”,据称滥用“思达的注册商标”公司”。
CVE板已邀请DWF重新申请CNA状态,但在此期间要求DWF应停止发出CVE ID和“重命名所有当前和DWF问题的IDS”。
组织告诉每日SWbeplay2018官网IG.CVE板一直处于“与DWF的直接沟通以及更广泛的社区,就DWF的活动”。
梅特拒绝进一步评论。SEIFRIED指向DWF按包,在询问时更新。
