web-dev-qa-db-ja.com

CNAが回答を提供しなかった場合にCVEを要求する方法

数週間前に、製品に脆弱性が見つかりました。私は彼らに連絡して、1週間前にそれを報告し、またCVEを入手しました。

メーリングリストから返事が来なかったのですが、どうしたらいいですか? MitreのCVE文書では、CNAのみがCVEを要求できると述べています。

前もって感謝します。

3
ebdecastro

CNAの応答には1週間以上かかる場合があります。一部のスタッフは小規模なチームでスタッフが配置されている場合があります。1人の場合もあり、休暇中や病欠の場合は遅れが生じる可能性があります。 2週間経っても何も返ってこない場合は、それが心配の原因です。

過度の時間が経過したように思われる場合は、MITREに直接CVEを要求し、CNAが応答しなかったことをアプリケーションに記録することを選択できます。これをサポートするには、通信のタイムラインを提供する必要があります。

4
Polynomial