CNAが回答を提供しなかった場合にCVEを要求する方法
数週間前に、製品に脆弱性が見つかりました。私は彼らに連絡して、1週間前にそれを報告し、またCVEを入手しました。
メーリングリストから返事が来なかったのですが、どうしたらいいですか? MitreのCVE文書では、CNAのみがCVEを要求できると述べています。
前もって感謝します。
CNAの応答には1週間以上かかる場合があります。一部のスタッフは小規模なチームでスタッフが配置されている場合があります。1人の場合もあり、休暇中や病欠の場合は遅れが生じる可能性があります。 2週間経っても何も返ってこない場合は、それが心配の原因です。
過度の時間が経過したように思われる場合は、MITREに直接CVEを要求し、CNAが応答しなかったことをアプリケーションに記録することを選択できます。これをサポートするには、通信のタイムラインを提供する必要があります。