帖子
你想怎么处理NVD / ?
几乎任何人以任何方式参与软件漏洞(甚至黑客!)有爱/恨关系国家漏洞数据库(NVD)。从好的方面说,这是迄今为止世界上最大的和支持最漏洞数据库。但-方面,有很多问题很难使用NVD,在许多情况下,使它不可能找到漏洞信息几乎可以肯定是在数据库或其他地方。
不到一年以前,我召开了一次“SBOM行业”领导人的非正式组织,讨论为什么SBOMs严重表现不佳,至少在分布和使用组织的主要业务不是软件开发。[我]集团的目标不仅仅是讨论这些问题,但要找出如何解决它们,并尽我们所能使他们在路上被解决。我们称自己为SBOM论坛,我们满足每周变焦。
我们决定,虽然有很多问题抑制SBOM分发和使用,我们将专注于兼容性问题;我个人认为没有超过三个或四个。我们没有一个正式的讨论,我们将解决的问题第一,但在两次会议中,我们发现:命名的问题。
然而,即使我们没有蠢到把整个命名问题,发现许多方面和在某种程度上在世界上每一个软件或漏洞数据库。我们马上关注大漏洞数据库的爸爸,这是我们都有经验。NVD使用”CPE的名字“识别产品,这是很多问题的根源;我们在页面的4 - 6描述了这些问题建议我们去年9月,OWASP网站公布的。我们的提议描述如何修复(或者至少大大纠正)与CPE的问题,虽然这需要其他一些联邦政府和私人部门的参与组织。
提案是为了解决大部分NVD命名的问题,我们希望它可以完全实现在2 - 3年(这当然是接近光速当你处理联邦政府)。适当的机构在联邦政府开始考虑我们的提议,我们相当肯定它是在我们这个时代的道路上实现框架。
出版我们的建议后,我们讨论其他话题,定居在烦恼我们下一个主题。在我看来,烦恼和命名问题是两个最大的兼容性问题防止SBOMs分布式和非开发人员使用。
然而,最近,我们意识到我们的提议可能会推迟的原因实现显著超过三年。我们有一个会议来讨论这个问题。虽然我们收到了一些保证,我们当前的担忧可能夸大了,我们最终NVD拥有更广泛的讨论,其他问题上来。最后一小时的会议,我们决定我们想要专注于NVD本身,而不是限制自己在NVD讨论的命名问题。
我们有一些非常大的软件和智能设备供应商的代表在SBOM论坛(以及许多小工具厂商和一些咨询公司。我们只有一些最终用户组织和我们想要更多的),他们惊讶地听到说一些NVD是什么问题与命名。他们想听到的所有问题我们组的其他成员遇到。
更重要的是,我们开始讨论NVD可能如果它被允许走出狭窄的盒子现在发现自己在。例如,因为全世界的人都使用NVD,然而整个基础设施安置在美国,会发生什么如果NVD地方基础设施(也许通过内容交付网络)在其他大洲——同时得到支持从私人和公共部门组织其他大洲?
请注意,我不一会儿责怪任何个人,甚至是政府机构,NVD的问题。任何组织的发展非常迅速,但必须履行的义务政府控制的实体,可能会发现自己在一个类似的盒子迟早。事实上,有一个很好的例子,一个类似的组织孵化的NTIA同样的联邦机构,软件组件透明度倡议“孵化”,也称为“艾伦的军队”。该组织发现自己过于盒子里比NVD更快,现在这是一个非常有效的私营部门组织,从政府那得到了一些帮助。
有人听说过DNS吗?我把这另一种方式:有谁使用DNS少于每天5000次(几乎总是不思考它,当然)?我们的生活将是非常不同的,如果不是可以找到任何我们想要的网站通过一个DNS查询,我们必须首先获得运营商的网站(也许通过调用——你还记得电话吗?)他们31-hex字符IPv6地址,然后输入它在我们的浏览器。和如果你有其中的一个角色,你会得到报应错;你必须重新输入,直到你做到了完美。
没有更多的细节,命运的NTIA救了你捡一个想法由学术命名保罗Mockapetris和把它变成一个真正的服务。事实上,NTIA本身是第一个域名注册商。但你可以想象,业务增长非常迅速,由于NTIA(联邦政府)不想经商做一些私营部门可能会做得更好,当然更实惠的价格,他们寻找一个私营部门组织接管这个角色。
NTIA首先犯了一个错误的开始,当他们选择网络咨询公司来处理域名注册。经过几年的表现良好,他们有一天这将是一个好主意决定邮件组织请求的域名,看看他们想要一些其他的服务;电子邮件引发了一场风暴,NTIA寻找不同组织接管域名注册。最后,他们把业务交给互联网地址分配机构的(IANA),它仍然是负责分配域名。(二)
我们组现在的过程中列举NVD今日所存在的问题和机会可能在未来,是否仍然是一个美国政府的一部分,是否保留NVD名称。我们已经有一些想法,但我们正在寻找其他人。如果你有任何你想为这个讨论,与评论或提出文本编辑或添加,请走吧在这里。你可以使用你的电子邮件地址或匿名。我们更喜欢前者,但我们最需要听到你说什么,不管你怎么说。
曾经我们一起有我们列出的问题和机会,我们会公开。我们还将开始讨论如何解决这些问题和机会,在短期和长期。你会欢迎参加。
任何观点在这个博客是我严格,不一定是共享的任何客户的汤姆Alrich LLC。如果你想评论你所读到这里,我想听到你的声音。请给我发邮件tom@tomalrich.com。
[我]好消息是,SBOMs巨大成功被采用的软件开发人员社区,在很大程度上由于弗里德曼博士的努力和NTIA。狗万体育手机官网开发人员意识到他们需要采取更保证组件的安全的责任包括在他们的产品,它是真的不可能,没有生产SBOMs每一点的开发过程。
然而,坏消息是,开发人员几乎从不向顾客分发SBOMs定期(至少不是。新SBOM应与每一个或大或小的分布式版本,自上次会议变得几乎完全无效点),这意味着他们的客户不能使用他们自己的软件风险管理的目的。然而,供应商通常不能归咎于这种情况;事实是,用户没有要求。
(二)考虑到这是一个成功的故事,难道你认为NTIA可能吹嘘一点关于他们网站上吗?我也会,但是我到处都找不到。
讨论
没有讨论。下面开始讨论。
发布——建立一个追随者
能源中央万博mantex app电力行业网络®是基于一个核心理念——电力行业专业人士互相帮助和推进行业通过分享和互相学习。
如果你有经验和洞察力来分享或学到的东西从一个会议或研讨会,你的同事和他的同事们在能源中心想听到它。万博mantex app也很容易分享一篇你喜欢的链接或一个行业资源,你认为会有帮助。
在参与