接上次写的(春节浪了大半个月没干活了…)这次来学习一下CVE的申请流程。
上次讲到CVE编号授予机构CNA,我们要申请CVE编号,肯定是要向CNA申请。
申请CVE大致分为三种情况:
一、(Participating CNA)CNA是参与CVE计划的公司或者项目发起者
二、(Primary CNA)CNA是MITRE官方
三、(Distributed Weakness Filing Project CNA)分布式弱点申报项目
于是我每个方法都大致看了一下:
一、Participating CNA
CNA列表
如果在它要求的范围内你发现了产品的漏洞,你就可以通过这个联系方式去联系厂家申请CVE。
二、Primary CNA
在了解Primary CNA前,我先查了一下MITRE。
wikipedia给的定义是:The Mitre Corporation (stylized as The MITRE Corporation[3] and MITRE) is an American not-for-profit organization based in Bedford, Massachusetts, and McLean, Virginia. It manages federally funded research and development centers (FFRDCs) supporting several U.S. government agencies.
美国的一个非盈利性组织,此外,还具有维护CVE的责任。什么情况下找Primary CNA申请CVE呢?就是你发现的洞不在第一种方式的范围内,但确实存在,就采取第二种方式,据说这种方式速度会比较快。
通过如上界面提交,戳此进入
三、Distributed Weakness Filing Project CNA
这种方式指不在参与CNA那些公司里面并且是开源软件或系统的漏洞。
我在参考文章里看到这种方法,不过我做的时候发现现在的CNA列表里面好像找不到这种了,在此就不做具体介绍。
相关文章: