»Ѕ-эксперты предложили альтернативу идентификаторам CVE

image

“еги: CVE, у€звимость, альтернатива

—истема DWF позволит экспертам, не получившим идентификатор CVE дл€ у€звимостей, использовать альтернативный номер.

√руппа »Ѕ-экспертов предложила свою систему идентификации у€звимостей в качестве альтернативы уже существующему стандарту CVE (Common Vulnerabilities and Exposures). Ќова€ система под названием Distributed Weakness Filing System (DWF) предоставит возможность исследовател€м по каким-либо причинам не получившим идентификатор CVE дл€ обнаруженных ими у€звимостей, использовать альтернативный номер.

CVE Ч общеприн€тый стандарт именовани€ у€звимостей, присутствующих в коммерческих и программных продуктах с открытым исходным кодом.

ѕо словам автора проекта DWF  урта —ейфрида (Kurt Seifried), данный шаг вызван бездействием составител€ справочника CVE, компании MITRE Corporation, спонсируемой правительством —Ўј.  ак утверждает —ейфрид, за последние полгода MITRE отреагировала только на незначительное количество запросов о присуждении идентификатора CVE дл€ обнаруженных исследовател€ми у€звимостей.

Ќесколько дес€тков »Ѕ-экспертов из различных стран (от начинающих хакеров до профессионалов с огромным послужным списком) не смогли получить номер CVE от MITRE. ¬ результате некоторые исследователи воздержались от обнародовани€ информации об у€звимост€х или опубликовали данные без идентификатора CVE.

 ак по€снил —ейфрид, запуск системы был запланирован на лето нынешнего года. ќднако ввиду отсутстви€ реакции MITRE на проблему, реализацию DWF было решено перенести.

Ђћы действительно ждем ответа от MITRE. я планировал запустить DWF этим летом, но ситуаци€ продолжает ухудшатьс€. ћы, как индустри€, просто не можем допустить, чтобы еще четыре мес€ца у€звимости оставались без идентификатораї, - отметил эксперт. 



или введите им€

CAPTCHA