¿Por qué la base de datos oficial de CVE no incluye los nombres de los reporteros?

La base de datos CVE no permite que se "graben" / / "Discoverer (s) / Credits" , como se muestra en la CVE DE MITRE forma :

Sinembargo,laayudaparaesecampoindica:

  

Indiquela(s)persona(s)uorganización(es)queencontróel  Vulnerabilidadodenuncialavulnerabilidadausted.Estainformacion  noseincluiráenlaentradapúblicadeCVE.

Enelaño2000,SteveChristeytenía este comentario en el editorial de CVE lista de correo de la junta:

  

Con respecto a los comentarios de Marcus, está claro que alguna vulnerabilidad   los descubridores quieren el crédito adecuado para descubrir algo, y es   convirtiéndose en una práctica más común (considere el reconocimiento de Microsoft   política y avisos recientes de la SGI).

Lo que implica que cuando CVE comenzó a funcionar, se suponía que los descubridores no querían obtener crédito. Hoy, eso parece extraño; Informar sobre las vulnerabilidades - responsablemente - es un trabajo respetable por el que incluso se le puede pagar. Pero hace 25 años, eso estaba lejos de ser el caso. La gente podría temer con razón las represalias legales y los daños a la reputación, si fueran responsables de publicar una vulnerabilidad. Porque, ¿cómo lo habrían encontrado si no fueran hackers malvados?

El proceso de CVE ha sido uno de varios agentes de cambio, que hace posible "descubrir" una vulnerabilidad más fácilmente hoy.

El método común de atribución es a través del anuncio; y en muchos casos, el campo Referencias del CVE (que es público ) apuntará al anuncio original de aviso. (Me parece recordar que 8lgm había tenido una nota notable sobre sus lanzamientos en los años 90). La tendencia reciente de los nombres sofisticados de ALLCAPS vuln con sitios web modernos es más de lo mismo.

(Esto deja sin contestar cómo convencer a un tercero (bueno, 4º - Descubridor / Reportero, MITER / CNA, Proveedor: esos tres comentarios. Estás preguntando por alguien distinto de esos tres, y no sé el responder a eso.)