de Publicación de blog de Greg Kroah-Hartman:
como siempre anunciado recientementeLinux Core Project ha sido aceptado como Autoridad de Numeración CVE (CNA) para vulnerabilidades encontradas en Linux.
Esta es una tendencia en la que más proyectos de código abierto se hacen cargo de la asignación aleatoria de CVE para sus proyectos convirtiéndose en CNA, de modo que otros grupos no puedan asignar CVE sin su participación.Esto es Proyecto rizado Haciendo lo mismo por la misma razón.Lo que quiero señalar es Python es proyecto han contribuido a apoyar este trabajo, y Proyecto OpenSSF También lo fomenta y proporciona documentación y ayuda a proyectos de código abierto para lograr este objetivo.También quisiera agradecer cve.org El equipo y la junta directiva hicieron que nuestro proceso de solicitud fuera muy sencillo y nos brindaron mucha ayuda para hacerlo todo posible.
Como muchos de ustedes saben, tengo Habló mucho sobre CVE En el pasado, sí, creo que todo el sistema estaba roto de muchas maneras, pero este cambio es una manera de que asumamos más responsabilidad por eso y, con suerte, mejoremos el proceso con el tiempo. Este también es un trabajo en progreso y parece que es posible que se requiera que todos los proyectos de código abierto cumplan con las reglas y leyes promulgadas recientemente en diferentes partes del mundo, por lo que usar esto con el kernel nos permitirá notificar a varias CNA diferentes, si es necesario. en el futuro Como una organización.
Kroah-Hartman vinculado a su publicación en la lista de correo del kernel «Más detalles sobre cómo funciona todo esto en el kernel”.
[D]Para la capa del sistema donde se encuentra el núcleo de Linux, casi cualquier error puede explotarse para comprometer la seguridad del núcleo, pero cuando el error se soluciona, la posibilidad de explotación a menudo no es obvia. Por lo tanto, el equipo de asignación de CVE es precavido y asigna números CVE a cualquier corrección de errores que encuentre. Esto explica la aparentemente gran cantidad de CVE lanzados por el equipo central de Linux…
Los CVE no se asignan para problemas de seguridad no solucionados en el núcleo de Linux y solo se asignarán una vez que haya una solución disponible, ya que se puede rastrear adecuadamente mediante la identificación de confirmación de git de la solución original. Los CVE no se asignarán a ningún problema descubierto en las versiones principales que actualmente no cuentan con soporte activo por parte del equipo central de Stable/LTS.
alanwu (Lector de punto diagonal n.º 1.822) le preocupa que esto pueda abrumar la infraestructura de CVE, afirmando Discusión en curso en LWN.net.
Pero cuando se le acercó para hacer comentarios, Greg Krohartman sugirió que había un malentendido. Le dijo a Slashdot que el equipo de CVE «solicitó esto explícitamente como parte de nuestra solicitud… así que si están contentos con ella, ¿por qué no lo estarían los demás?»
