¿Por qué la base de datos oficial de CVE no incluye los nombres de los reporteros?

2

¿Por qué ni MITRE ni NVD enumeran los nombres de los informadores de un CVE? p.ej. para CVE-2018-1123, ni MITRE , ni NVD da crédito a los reporteros. Sin embargo, para algunos CVE, SecurityFocus enumera los nombres de los reporteros.

Si un investigador externo necesita demostrarle a un tercero independiente que él / ella reportó el error, ¿cómo lo hará?

    
pregunta Holmes.Sherlock 01.08.2018 - 23:23
fuente

1 respuesta

3

La base de datos CVE no permite que se "graben" / / "Discoverer (s) / Credits" , como se muestra en la CVE DE MITRE forma :

Sinembargo,laayudaparaesecampoindica:

  

Indiquela(s)persona(s)uorganización(es)queencontróel  Vulnerabilidadodenuncialavulnerabilidadausted.Estainformacion  noseincluiráenlaentradapúblicadeCVE.

Enelaño2000,SteveChristeytenía este comentario en el editorial de CVE lista de correo de la junta:

  

Con respecto a los comentarios de Marcus, está claro que alguna vulnerabilidad   los descubridores quieren el crédito adecuado para descubrir algo, y es   convirtiéndose en una práctica más común (considere el reconocimiento de Microsoft   política y avisos recientes de la SGI).

Lo que implica que cuando CVE comenzó a funcionar, se suponía que los descubridores no querían obtener crédito. Hoy, eso parece extraño; Informar sobre las vulnerabilidades - responsablemente - es un trabajo respetable por el que incluso se le puede pagar. Pero hace 25 años, eso estaba lejos de ser el caso. La gente podría temer con razón las represalias legales y los daños a la reputación, si fueran responsables de publicar una vulnerabilidad. Porque, ¿cómo lo habrían encontrado si no fueran hackers malvados?

El proceso de CVE ha sido uno de varios agentes de cambio, que hace posible "descubrir" una vulnerabilidad más fácilmente hoy.

El método común de atribución es a través del anuncio; y en muchos casos, el campo Referencias del CVE (que es público ) apuntará al anuncio original de aviso. (Me parece recordar que 8lgm había tenido una nota notable sobre sus lanzamientos en los años 90). La tendencia reciente de los nombres sofisticados de ALLCAPS vuln con sitios web modernos es más de lo mismo.

(Esto deja sin contestar cómo convencer a un tercero (bueno, 4º - Descubridor / Reportero, MITER / CNA, Proveedor: esos tres comentarios. Estás preguntando por alguien distinto de esos tres, y no sé el responder a eso.)

    
respondido por el gowenfawr 02.08.2018 - 03:19
fuente

Lea otras preguntas en las etiquetas