Linux 内核成为 CVE 编号机构 (CNA)

2024年 2月 21日 69.3k 0

Linux 内核已被接受为 CVE 编号机构 (CNA),这意味着他们将直接管理内核的 CVE。Linus Torvalds 近日在邮件列表发布了 Linux 6.8-rc5,并介绍称文档添加了 CVE 漏洞处理相关的指南。

CVE 文档页面

文档写道,Linux 内核开发团队有能力为潜在的内核安全问题分配 CVE,而分配的 CVE 编号将在 linux-cve-announce 邮件列表上公布,修复的安全漏洞才会分配 CVE 编号,未修复的不会自动分配编号。

https://lore.kernel.org/linux-cve-announce/

CVE 是通用漏洞披露 (Common Vulnerabilities and Exposures) 的英文缩写,列出了已公开披露的各种计算机安全缺陷。CVE 识别号由 CVE 编号管理机构 (CNA) 分配。

任何人都可以从任何地方进行 CVE 报告。无论是供应商、研究人员或是个人用户,都有可能发现缺陷,并促使他人予以关注。很多供应商都会提供错误报告奖励,以鼓励相关人员负责任地披露各种安全问题。

在 Linux 内核成为 CNA 之前,它无法自行管理内核的 CVE 漏洞编号分配。由于内核是系统的底层,几乎任何错误都可能被用于危害内核安全,但当错误被修复时,被利用的可能性通常不明显。过去 CNA 过于谨慎,几乎为发现或收到的任何安全漏洞分配了 CVE 编号,导致 Linux 内核团队需要花费大量时间处理许多未造成重大影响的漏洞。

因此接下来 Linux 内核中未修复的安全漏洞不会提前分配 CVE 编号,只有在漏洞被修复后才会分配 CVE 编号,这样可以通过正确的方式来追踪原始修复的 git commit ID。

延伸阅读:curl 项目已被接受为 CVE 编号机构 (CNA)

相关文章

塑造我成为 CTO 之路的“秘诀”
“人工智能教母”的公司估值达 10 亿美金
教授吐槽:985 高校成高级蓝翔!研究生基本废了,只为房子、票子……
Windows 蓝屏中断提醒开发者:Rust 比 C/C++ 更好
Claude 3.5 Sonnet 在伽利略幻觉指数中名列前茅
上海新增 11 款已完成登记生成式 AI 服务

发布评论