web-dev-qa-db-ja.com

公式のCVEデータベースに記者の名前がリストされていないのはなぜですか?

MITERもNVDもCVEのレポーターの名前をリストしないのはなぜですか?例えばCVE-2018-1123の場合、 [〜#〜] mitre [〜#〜][〜#〜] nvd [〜#〜] も記者に信用を与えません。ただし、一部のCVEでは、SecurityFocusはレポーターの名前をリストします。

外部の研究者が独立した第三者にバグを報告したことを証明する必要がある場合、どのように対処しますか?

2
Holmes.Sherlock

MITRE CVE form に示されているように、CVEデータベースでは、「Discoverer(s)/ Credits」をrecordedに記録できます。

Discoverer(s)/Credits field of CVE Request Form

ただし、そのフィールドのヘルプには次のように記載されています。

脆弱性を発見したか、脆弱性を報告した個人または組織を示してください。この情報は、公開CVEエントリには含まれません。

2000年に戻ると、スティーブクリスティはCVE編集委員会のメーリングリストに このコメント がありました。

マーカスのコメントに関して、一部の脆弱性発見者は何かを発見するための適切な信用を求めていることは明らかであり、それはより一般的な慣行になりつつあります(Microsoftの承認ポリシーと最近のSGIアドバイザリを考慮してください)。

これは、CVEの起動時に、発見者がクレジットを要求していないとの仮定があったことを意味します。今日、それは奇妙に思えます。責任を持って-脆弱性を報告することは、あなたがお金を払うことさえできる立派な仕事です。しかし、25年前、それは事実とはほど遠かった。人々は、もしも脆弱性を公表することに責任を負っていれば、法的報復や評判の低下を恐れることは当然です。彼らが邪悪なハッカーでなければ、どうやってそれを見つけたでしょうか?

CVEプロセスは変更をもたらすいくつかの要因の1つであり、今日ではより簡単に脆弱性の発見を「所有」できるようになっています。

帰属の一般的な方法は発表によるものです。多くの場合、CVEのReferencesフィールド(ispublic)は、元の勧告アナウンスを指します。 (8lgmが90年代のリリースに関する注目すべき事実を思い出したようです)。最近の流行のWebサイトでのALLCAPS脆弱性名の流行の傾向は、まったく同じです。

(これは、サードパーティを説得する方法を未回答のままにします(まあ、4番目-Discoverer/Reporter、MITRE/CNA、Vendor-これらの3つの話。あなたは、これら3人とは別の誰かについて尋ねていますが、私はその答えを知りません。 。)

3
gowenfawr