Tengo dos preguntas sobre el proceso para solicitar y obtener un ID de CVE para una vulnerabilidad.
-
¿Debo comunicarme con el proveedor primero y esperar para ver si reconocen la vulnerabilidad y lanzar un parche y luego enviar un ID de CVE o debo enviar un ID de CVE ahora?
Dice lo siguiente:
IMPORTANTE: una vez que se haya asignado un ID de CVE a su vulnerabilidad, no se publicará en la Lista de CVE hasta que haya enviado una URL que señale información pública sobre la vulnerabilidad. Sin una referencia pública, el ID de CVE se mostrará como "RESERVADO" en la Lista de CVE.
Mi pregunta es sobre "una URL que apunta a información pública". ¿Esta información pública tiene que venir del Proveedor o puede ser que esta información pública sea algo así como una URL que apunta a una página de db de exploit?