뉴스 정보 뉴스 컴퓨터 소프트웨어 및 개발

CVE 레코드 변경을 요청하는 방법

CVE 레코드 변경을 요청하는 방법

사용하거나 유지 관리하는 소프트웨어에 영향을 미치며 정보가 더 나을 수 있다고 생각하는 일반적인 취약성 및 노출 (CVE) ID를 접해 본 적이 있습니까?

CVE ID는 소프트웨어 취약점을 추적하기위한 널리 사용되는 시스템입니다. 취약한 종속성이 소프트웨어에 영향을 미치면 다른 사람에게 경고하기 위해 저장소 보안 자문을 작성할 수 있습니다. 그러나 통찰력이 가능한 가장 높은 상류 데이터 소스에 도달하기를 원한다면 취약점의 CVE ID를 발행 한 CVE Numbering Authority (CNA)에 문의해야합니다.

400 개가 넘는 CNA 커뮤니티의 일환으로 Github는 Github이 CVE를 발행 한 경우 (예 :이 커뮤니티 기여와 같은) 도움을 줄 수 있습니다. 몇 가지 주요 세부 사항만으로 올바른 CNA를 식별하고 필요한 컨텍스트로 연락 할 수 있습니다. 이 안내서는 방법을 보여줍니다.

1 단계 : CVE를 발행 한 CNA를 찾으십시오

모든 CVE 레코드에는 CVE ID를 발행 한 CNA의 이름을 포함하는 항목이 포함되어 있습니다. CNA는 초기 출판 후 CVE 레코드를 업데이트 할 책임이 있으므로 모든 요청이이를 지시해야합니다.

CVE.org에서 CNA는 “필수 CVE 레코드 정보”헤더에 따라 첫 번째 정보로 나열됩니다. 정보는 페이지의 오른쪽에서도 사용할 수 있습니다.

CVE-2023-29012의 CVE.org 레코드의 스크린 샷은“CNA”필드 주위에 노란색 사각형이 그려져“Github (Mestamerer Security Advisories)”가 CVE-2023-29012의 CNA라는 사실에 주목합니다.

nvd.nist.gov에서 발행 CNA에 대한 정보는 “빠른 정보”상자에 있습니다. 발행 CNA를 “소스”라고합니다.

CVE-2023-29012의 NIST.NVD.GOV 레코드의 스크린 샷.“Github, Inc. CVE-2023-29012의 CNA입니다.

CVE 레코드에서 CNA를 식별 한 후 공식 연락처 정보를 찾아 업데이트 또는 변경 사항을 요청하십시오. 이 정보는 CNA 파트너 웹 사이트에서 제공됩니다.

검색 창에서 CNA 이름을 검색하십시오. 일부 조직에는 둘 이상의 CNA가있을 수 있으므로 원하는 CVE가 올바른 CNA에 해당하는지 확인하십시오.

CVE.org

“파트너”아래 왼쪽 열에는 범위 및 연락처 정보가있는 프로파일 페이지에 연결되는 CNA 이름이 있습니다.

대부분의 CNA에는 CVE 관련 커뮤니케이션을위한 이메일 주소가 있습니다. “2 단계 : Contact”라는 링크를 클릭하십시오 이메일 CNA의 이메일 주소를 찾으려면

CNA“Github, Inc.”의 CVE.org 항목 스크린 샷. 노란색 사각형은 헤더와 링크 주위에 그려집니다. 헤더는

CNA 간의 이메일 커뮤니케이션에 대한 일반적인 선호도에 대한 가장 주목할만한 예외는 세계에서 가장 많은 CVE 번호 매기기 권한 인 Miter Corporation입니다. Miter는 CVE를 생성, 업데이트, 분쟁 또는 거부하라는 요청을 제출하기 위해 WebForm을 사용합니다.

CNA와의 의사 소통에 포함해야 할 사항

  • 논의하고 싶은 CVE ID
  • CVE 레코드 내에서 추가, 제거 또는 변경하려는 정보
  • 정보를 변경하려는 이유
  • 일반적으로 참조 링크 형태의 증거 지원

공개적으로 이용 가능한 참조 링크를 포함하여 변경 사항을 정당화하므로 중요합니다. 참조 링크의 예는 다음과 같습니다.

  • 공개적으로 이용 가능한 취약성 보고서, 자문 또는 개념 증명
  • 패치를 설명하는 수정 커밋 또는 릴리스 노트
  • 관리자가 커뮤니티와 소프트웨어의 취약성을 논의하는 영향을받는 저장소의 문제
  • CVE의 해당 Github 보안 자문으로 변경을 제안하는 커뮤니티 기여 풀 요청

변경 사항을 제출할 때 CNA만이 유일한 청중이 아니라는 점을 명심하십시오. 공개 결정 및 취약성 세부 사항에 대한 명확한 맥락은 광범위한 개발자와 보안 커뮤니티가 위험을 이해하고 완화에 대한 정보에 근거한 결정을 내릴 수 있도록 도와줍니다.

CNA가 응답하는 데 걸리는 시간은 다를 수 있습니다. CVE CNA 규칙의 규칙 3.2.4.1 및 3.2.4.2.

“3.2.4.1 해당 CNA 범위 정의에 따라 CNA는 CNA의 공개 POC를 통해 제출 된 CVE ID 할당 요청에 적시에 응답해야합니다.

3.2.4.2 CNA는 공개 POC를 포함하여 예상 응답 시간을 문서화해야합니다.”

CNA 규칙은 이미 공개 지식 인 취약점에 CVE ID를 할당하기위한 회사 타임 라인을 설정합니다. CVE ID 할당 또는 기록 간행물의 경우, CVE CNA 규칙의 4.2 절 및 섹션 4.5는 CNA가 CVE ID를 발행하거나 공개적으로 알려진 취약성에 대한 CVE 레코드를 게시 해야하는 시간 제한으로 72 시간을 설정합니다. 그러나 CVE 기록을 변경하기위한 그러한 지침은 없습니다.

CNA가 나에게 반응하지 않거나 동의하지 않으면 어떻게해야합니까?

CNA가 응답하지 않거나 CVE 레코드의 내용에 대한 계약에 도달 할 수없는 경우 다음 단계는 분쟁 절차에 참여하는 것입니다.

CVE 프로그램 정책 및 CVE 기록에 대한 절차는 CVE 기록에 대한 이의를 제기하고 분쟁을 확대하는 방법에 대한 세부 정보를 제공합니다. 해당 프로세스의 세부 사항은이 게시물의 범위를 벗어납니다. 그러나 CVE 기록에 이의를 제기하면 CNA의 근본 또는 최상위 근본이 누구인지 아는 것이 좋습니다.

링크 된 CNA의 파트너 페이지를 볼 때 “최상위 루트”열에서 CNA의 루트를 찾을 수 있습니다. 대부분의 CNA의 경우, 근본은 최상위 뿌리 인 Miter입니다.

CNA“Github, Inc.”의 CVE.org 항목 스크린 샷. 포스트에서 논의되는 테이블의 두 항목에주의를 끌기 위해 테이블의 항목 주위에 노란색 사각형이 그려집니다. 왼쪽 열에는

CVE 기록을 향상시키고 싶습니다 그리고 CVE 레코드의 해당 보안 자문? GitHub Advisory 데이터베이스에서 보안 자문 편집에 대해 자세히 알아보십시오.

작성자가 작성했습니다

쉘비 커닝햄

Github Advisory Database의 큐레이터, CVE IDS 발행 및 CVE 레코드 게시를 담당하는 보안 연구원 중 하나 인 Security Analyst.

출처 참조

Related Posts

Post Comment

당신은 놓쳤을 수도 있습니다