Replacing CVE
a year ago
- #Vulnerability Management
- #Professional Certification
- #Cybersecurity
- MITRE的CVE系统因效率低下和漏洞分类错误而受到批评。
- 现行CVE系统允许'脚本小子'利用其美化简历,导致数据库充斥无效信息,实用性降低。
- Curl等大型项目不得不成为CNA(CVE编号机构)来自行管理漏洞报告。
- 提出两种替代方案:一种由提交者控制数据库,另一种由供应商控制漏洞分类。
- 建议用基于属性的漏洞描述替代CVSS评分体系,以提高准确性和实用性。
- 引入专业软件工程师(PSWE)认证制度,强制要求漏洞报告并建立追责机制。
- PSWE认证将要求90天内准确报告漏洞,违规者面临处罚。
- 开源项目无需PSWE认证(除非主动承担法律责任),此举可能解决资金问题。
- 提案包含防止PSWE认证垄断的措施,确保公平性和可及性。
- 改变漏洞报告的激励机制可同时解决行业多个痛点问题。