Replacing CVE
a year ago
- #Professional Certification
- #Vulnerability Reporting
- #Cybersecurity
- CVE系统存在缺陷,常产生噪音而非有效的漏洞报告。
- 现行漏洞报告机制助长'脚本小子'为简历镀金而追逐CVE编号,而非追求实质安全改进。
- 建议用基于漏洞属性的新评分体系替代CVSS,以提升精确性与相关性。
- 引入专业软件工程师(PSWE)认证制度,强化漏洞报告责任机制。
- PSWE认证将要求90天内准确报告漏洞,对失职行为实施追责。
- 开源项目可通过雇佣PSWE工程师选择承担法律责任,在解决资金问题的同时提升安全报告质量。
- 改革方案旨在重构利益驱动,使优良安全实践既能惠及个人也能造福社会。