ИБ-эксперты предложили альтернативу идентификаторам CVE

image

Теги: CVE, уязвимость, альтернатива

Система DWF позволит экспертам, не получившим идентификатор CVE для уязвимостей, использовать альтернативный номер.

Группа ИБ-экспертов предложила свою систему идентификации уязвимостей в качестве альтернативы уже существующему стандарту CVE (Common Vulnerabilities and Exposures). Новая система под названием Distributed Weakness Filing System (DWF) предоставит возможность исследователям по каким-либо причинам не получившим идентификатор CVE для обнаруженных ими уязвимостей, использовать альтернативный номер.

CVE — общепринятый стандарт именования уязвимостей, присутствующих в коммерческих и программных продуктах с открытым исходным кодом.

По словам автора проекта DWF Курта Сейфрида (Kurt Seifried), данный шаг вызван бездействием составителя справочника CVE, компании MITRE Corporation, спонсируемой правительством США. Как утверждает Сейфрид, за последние полгода MITRE отреагировала только на незначительное количество запросов о присуждении идентификатора CVE для обнаруженных исследователями уязвимостей.

Несколько десятков ИБ-экспертов из различных стран (от начинающих хакеров до профессионалов с огромным послужным списком) не смогли получить номер CVE от MITRE. В результате некоторые исследователи воздержались от обнародования информации об уязвимостях или опубликовали данные без идентификатора CVE.

Как пояснил Сейфрид, запуск системы был запланирован на лето нынешнего года. Однако ввиду отсутствия реакции MITRE на проблему, реализацию DWF было решено перенести.

«Мы действительно ждем ответа от MITRE. Я планировал запустить DWF этим летом, но ситуация продолжает ухудшаться. Мы, как индустрия, просто не можем допустить, чтобы еще четыре месяца уязвимости оставались без идентификатора», - отметил эксперт. 



comments powered by Disqus