Linux wird CVE Numbering Authority

Kernel-Maintainer Greg Kroah-Hartman hat bekannt gegeben, dass das Linux-Kernel-Projekt als CNA (CVE Numbering Authority) für in Linux gefundene Schwachstellen akzeptiert worden ist.

Das Kernel-Projekt folge damit einem Trend, indem es wie immer mehr Open-Source-Projekte die halbherzige Zuweisung von CVEs für ihr Projekt selbst übernehme. Indem sie zur CNA werden, könne keine andere Gruppe CVEs ohne ihre Beteiligung zuweisen, schreibt Kroah-Hartman.

Das Curl-Projekt tue aus den gleichen Gründen das Gleiche, so Kroah-Hartman. Er wolle auch die großartige Arbeit hervorheben, die das Python-Projekt bei der Unterstützung dieser Bemühungen geleistet habe, und das OpenSSF-Projekt, das dies ebenfalls unterstützt und Dokumentation und Hilfe für Open-Source-Projekte bereitstelle, um dies zu erreichen. Auch bei der cve.org-Gruppe und dem Vorstand bedankt er sich, da sie den Bewerbungsprozess reibungslos gestaltet haben und bei der Ermöglichung dieses Projekts geholfen hätten.

Greg Kroah-Hartman gilt bekanntermaßen nicht als Freund von CVEs. Er habe in der Vergangenheit viel über CVEs gesprochen, und er halte das System insgesamt in vielerlei Hinsicht für fehlerhaft. Dennoch sei dieser Schritt eine Möglichkeit, mehr Verantwortung dafür zu übernehmen und den Prozess hoffentlich mit der Zeit zu verbessern.

Der Kernel-Maintainer glaubt, dass diese Aufgabe künftig für alle Open-Source-Projekte verpflichtend werden könnte, um in Anbetracht der jüngsten Regeln und Gesetzen, die in verschiedenen Teilen der Welt erlassen wurden, alle Arten von CNA-ähnlichen Organisationen zu benachrichtigen, wenn dies erforderlich sei.

Den Prozess der CVE-Vergabe beschreibt eine Mail an die Kernel-Mailingliste.

E-Mail Benachrichtigung
Benachrichtige mich zu:
0 Kommentare
Älteste
Neuste Beste Bewertung
Nach oben