Комьюнити «ядро Linux» возведено в ранг CVE Numbering Authority (CNA) —уполномоченного по фиксации и раскрытию уязвимостей. Отныне
участники будут сами назначать CVE ID уязвимостям opensourcе-проекта и публиковать соответствующие записи.
О новом партнерстве в рамках программы CVE объявила неделю назад НКО MITRE. Таких CNA-помощников у активистов уже более 360; среди них
числятся вендоры, исследователи, CERT, хостинг-провайдеры, инициаторы bug bounty, opensourcе-сообщества, в том числе крупные — такие, как
curl project, OpenSSF и Python.
Команда kernel.org надеется, что присвоение ей статуса CNA позволит повысить четкость и качество управления уязвимостями в Linux..
«Я многократно поднимал тему CVE и считаю, что система во многом несовершенна, — заявил разработчик ядра Linux Грег Кроа-Хартман (Greg
Kroah-Hartman). — Тем не менее для нас это шанс взять на себя больше ответственности за процесс и, надеюсь, улучшить его со временем.
Работать придется несколько иначе, чем другие CNA: ядро живет на другом уровне в сравнении с большинством программных проектов. К тому же
наша пользовательская база — одна из самых обширных и очень разнообразна (исключение составляет разве что вездесущий curl)».
Информация о присвоении CVE-идентификаторов будет распространяться по списку имейл (автоматически, если оформлена подписка). Для хранения
каталога уже создан git-репозиторий; это пока проба пера, и в ходе работы структура может измениться.
19 февраля
Материал взят с сайта:
anti-malware.ru
|