J'ai récemment signalé une vulnérabilité de sécurité et elle a été corrigée. Le patch (et le problème associé) sont tous les deux à la fois ouverts dans un repo github (aka public). J'ai contacté [email protected] pour obtenir un identifiant CVE émis pour la vulnérabilité. J'ai reçu un identifiant CVE.
Dois-je faire autre chose (par exemple une preuve d'approvisionnement du code concept, etc.), ou je suis terminé?
Étant donné que vous avez fait référence Github, je suppose ce lié à un certain type de En tant que projet open source, une note oss-sec est une bonne idée. Cela apportera à l'attention de la plupart des distributeurs en amont.
Vous n'êtes pas obligé de souscrire à poster pour oss-sec, mais vous devez noter soigneusement l'étiquette/directives de contenu dans le lien ci-dessus. A fouiller dans les archives devrait vous orienter dans la bonne direction, celui-ci est une publication récente (du mainteneur de la liste), la forme dont vous pourriez utilement copier: http: // seclists .org/oss-sec/2015/q3/61
Le NIST Base de données nationale de la vulnérabilité est pilotés par des données CVE et devrait être mis à jour dans un proche avenir, ils ne suggèrent pas combien de temps cela pourrait prendre bien. Le FAQ NVD a aussi quelques détails utiles, y compris les procédures de contact manquants ou des entrées incorrectes. Je vous suggère de lui donner au moins deux semaines (selon des données empiriques) après que vous publiez sur oss-sec avant de donner suite cependant, les gens CVE ont tendance à être occupé.