ベンダーへの連絡とパッチ適用後のエクスプロイトの公開

エクスプロイトごとにCVE識別番号を尋ねて取得し、それらのCVEにリンクする論文を公開する次の正しい手順は何ですか？

礼儀として、出版を計画していることをベンダーに通知します。最初に、顧客に非公開の通知を送信して、更新する時間を与えることができます。通常は、最初にベンダーに連絡するときにこれを言及しますが、連絡しない場合は、遅刻しない方がよいでしょう。

以下で説明するプロセスを介してCVEを取得できる場合、はい、各脆弱性をそのCVEにリンクします。レポートをメーリングリストに公開することもできます。

CVEは必要ですか？

このペーパーをリリースするだけですか、それともCV番号も取得する必要がありますか

開示するためにCVEは必要ありませんが、入手できる場合は推奨されます（MITREによってリストされていないクローズドソースのソフトウェアにあるなど、脆弱性はCVEの対象にならない可能性があります。 適時に ）でCVEを割り当てることができません。

CVEの背後にある考え方は、セキュリティの脆弱性を特定する一元的な方法を提供することです。これにより、さまざまなツールまたは脆弱性データベース全体でさまざまな問題を簡単に区別できます。

したがって、可能であれば、公開する前にCVEを取得することをお勧めします。そうすることで、他のユーザーが脆弱性を簡単に識別でき、割り当ての重複を回避できます。

CVEの入手方法（2016以降）

2016年8月、MITREはメールベースのCVEリクエストプロセスをウェブフォームベースのプロセスに変更しました。その過程で、彼らはどの脆弱性がCVEを直接要求できるかについてのルールも変更しました。

このドキュメント に基づいて理解している限り、これは次のように機能します。

1. 影響を受ける製品が [〜＃〜] cna [〜＃〜] に割り当てられている場合、脆弱性が報告されると同時にCVEからCVEをリクエストする必要があります。
2. そうでない場合は、CERT/CC（私は開示する前に想定）、またはメーリングリスト（開示している間）に連絡できます。
3. 影響を受ける製品が software のように見える任意のリストにある場合、CVEはベンダーに報告された後で要求されますが、脆弱性を公開する前にbefore 。このリクエストは MITRE CVE webform を介して行われる必要があります。
4. 影響を受ける製品がリストになく、オープンソースである場合、CVEは公開された後にこれを介して要求されます google docs form =（メーリングリストで公開する場合は、CVE割り当ての重複を避けるためにリンクを必ず含めます）

あなたのケースでは、ポイント1はそうではないようです。開示をメーリングリストに送信することもできますが（ポイント2。）、CVEを取得することは期待していません。ベンダーが3.の場合、Webフォームを使用してCVEをリクエストできます。 4.適用されないため、前述のいずれのポイントも適用されない場合（たとえば、対象製品のリストにないクローズドソフトウェアである場合）、CVEを取得できない場合があります。