MITRE reorganizó su política de asignación el año pasado. Presentaron una lista de productos cubiertos y excluyeron a otros Productos de CVEs.
Este año, nuevamente abrieron CVE a todo el software existente, excepto el software de código abierto que no se encuentra en una lista de cubierto productos . Los que están delegados a la DWF. Pero también dicen que son el CNA para "cualquier otro producto que no esté incluido en esta página".
El DWF dice que solo cubren temas que ya son públicos. Esto significa que primero habría que revelar un problema sin CVE antes de solicitar un CVE, lo que parece ir en contra del propósito de los CVE. Supongo que el propósito del DWF es principalmente cubrir temas por los cuales el investigador, por alguna razón, no quiso solicitar un CVE por sí mismo. ¿Y se puede suponer que el proceso de asignación de CVE a los problemas que se envían a las listas de correo (lo que MITRE denominó "Fuentes de cobertura parcial") se suspende con el establecimiento del DWF (por lo que no existe peligro de doble asignación)? / p>
¿Debo solicitar un CVE a través de MITRE para problemas en software de código abierto que aún no son públicos y no están en la lista de productos cubiertos, o debo publicarlos y luego solicitar un CVE a través de DWF?