من أي وقت مضى معرف الضعف والتعرضات الشائعة (CVE) تؤثر على البرنامج الذي تستخدمه أو تحافظ عليه واعتقدت أن المعلومات يمكن أن تكون أفضل؟

معرفات CVE هي نظام يستخدم على نطاق واسع لتتبع نقاط الضعف للبرامج. عندما تؤثر التبعية الضعيفة على برنامجك ، يمكنك إنشاء استشارية لأمن المستودع لتنبيه الآخرين. ولكن إذا كنت تريد أن تصل رؤيتك إلى أكثر مصدر البيانات في المنبع الممكنة ، فستحتاج إلى الاتصال بسلطة ترقيم CVE (CNA) التي أصدرت معرف CVE للضعف.

جيثب ، كجزء من مجتمع من أكثر من 400 CNAs، يمكن أن تساعد في الحالات التي أصدر فيها Github CVE (مثل مع هذه المساهمة المجتمع). ومع وجود بعض التفاصيل الرئيسية ، يمكنك تحديد CNA الصحيح والتواصل مع السياق اللازم. يوضح لك هذا الدليل كيف.

الخطوة 1: ابحث عن CNA التي أصدرت CVE

على cve.org، تم إدراج CNA كأول جزء من المعلومات تحت عنوان “معلومات سجل CVE المطلوبة”. المعلومات متوفرة أيضًا على الجانب الأيمن من الصفحة.

على nvd.nist.gov، تتوفر معلومات حول CNA المصدر في مربع “المعلومات السريعة”. يسمى إصدار CNA “المصدر”.

بعد تحديد CNA من سجل CVE ، حدد موقع معلومات الاتصال الرسمية لطلب التحديثات أو التغييرات. هذه المعلومات متوفرة على موقع CNA Partners على موقع CNA على https://www.cve.org/partnerinformation/listofpartners.

ابحث عن اسم CNA في شريط البحث. قد يكون لدى بعض المنظمات أكثر من CNA ، لذا تأكد من أن CVE الذي تريده يتوافق مع CNA الصحيح.

يحتوي العمود الأيسر ، تحت “Partner” ، على اسم CNA الذي يرتبط بصفحة ملف تعريف مع معلومات الاتصال والاتصال به.

معظم CNAs لديها عنوان بريد إلكتروني للاتصالات المتعلقة CVE. انقر على الرابط ضمن “الخطوة 2: الاتصال” الذي يقول بريد إلكتروني للعثور على عنوان البريد الإلكتروني الخاص بـ CNA.

الاستثناء الأكثر بروزًا للتفضيل العام لتواصل البريد الإلكتروني بين CNAs هو شركة ميتري، أكثر سلطة ترقيم CVE في العالم. يستخدم Miter webform في https://cveform.mitre.org/ لتقديم الطلبات لإنشاء أو تحديث أو نزاع أو رفض CVES.

ما يجب تضمينه في اتصالك مع CNA

• تقرير الضعف المتاح للجمهور ، أو الاستشارية ، أو إثبات المفهوم
• ملاحظات التزام أو إصدار ملاحظات تصف التصحيح
• مشكلة في المستودع المتأثر الذي يناقش فيه المشرف الضعف في برامجهم مع المجتمع
• أ مساهمة المجتمع طلب السحب الذي يشير إلى تغيير في استشارات أمن Github المقابلة لـ CVE

عند تقديم التغييرات ، ضع في اعتبارك أن CNA ليس جمهورك الوحيد. سياق واضح حول قرارات الإفصاح وتفاصيل الضعف يساعد المطورين الأوسع والمجتمع الأمني ​​على فهم المخاطر واتخاذ قرارات مستنيرة بشأن التخفيف.

قد يختلف الوقت الذي يستغرقه الاستجابة CNA. القواعد 3.2.4.1 و 3.2.4.2 من قواعد CVE CNA ولاية:

“3.2.4.1 مع مراعاة تعريفات نطاق CNA الخاصة بكل منها ، يجب أن تستجيب CNAs في الوقت المناسب لطلبات تعيين ID CVE المقدمة من خلال POC العامة في CNA.

3.2.4.2 يجب على CNAs توثيق أوقات الاستجابة المتوقعة ، بما في ذلك تلك الخاصة بالجمهور POC. “

تنشئ قواعد CNA الجداول الزمنية الثابتة لتخصيص معرفات CVE على نقاط الضعف التي هي بالفعل معرفة عامة. لتخصيص معرف CVE أو تسجيل السجل على وجه الخصوص ، القسم 4.2 و القسم 4.5 من بين قواعد CVE CNA تنشئ 72 ساعة حيث يجب أن تصدر CNAs CNAs معرفات CVE أو نشر سجلات CVE للثغرات المعروفة للجمهور. ومع ذلك ، لا يوجد مثل هذا التوجيه لتغيير سجل CVE.

ماذا لو أن CNA لا يستجيب أو لا يوافق معي؟

إذا لم يستجب CNA أو لا يمكنك التوصل إلى اتفاق حول محتوى سجل CVE ، فإن الخطوة التالية هي المشاركة في عملية النزاع.

سياسة برنامج CVE وإجراءاتها للتجاهل سجل CVE يوفر تفاصيل حول كيف يمكنك أن تتجاهل سجل CVE وتصعيد النزاع. تفاصيل هذه العملية تتجاوز نطاق هذا المنشور. ومع ذلك ، إذا انتهى بك الأمر إلى التشديد على سجل CVE ، فمن الجيد معرفة من هو الجذر أو الجذر على المستوى الأعلى لـ CNA هو الذي يستعرض النزاع.

عند عرض صفحة شريك CNA مرتبطة من https://www.cve.org/partnerinformation/listofpartners، يمكنك العثور على جذر CNA أسفل العمود “جذر المستوى الأعلى”. بالنسبة لمعظم CNAs ، فإن جذرهم هو الجذر على المستوى الأعلى ، ميتري.

كتبه

محلل الأمن ، أمين قاعدة بيانات GitHub الاستشارية ، وأحد أعضاء مختبر الأمان المسؤول عن إصدار معرفات CVE ونشر سجلات CVE.