Common Vulnerabilities and Exposures(CVE)プログラムの理事会は、より多くの貢献を促し、この取り組みの将来を形作るために、2つの新しいフォーラムを立ち上げた。
非営利団体MITREが運営し、米国サイバーセキュリティ・インフラストラクチャ安全保障庁(CISA)がスポンサーを務めるCVEプログラムは、契約が満了した後の4月に、将来に不確実性が生じた。報道によれば、その後この契約は11か月延長されたという。
この期間を超えた長期的なプログラムの将来は依然として不透明である一方、CVE理事会は、より多くのステークホルダーが発言し、プログラムの戦略を形作れるようにする意向があるようだ。
7月1日、理事会は2つの新フォーラム、CVEコンシューマー・ワーキンググループ(CWG)と、CVEリサーチャー・ワーキンググループ(RWG)の立ち上げを発表した。
コンシューマー・ワーキンググループ:CVEデータ利用者向け
CWGは、企業、セキュリティチーム、脆弱性アナリスト、政府機関、マネージド・セキュリティ・サービス・プロバイダー(MSSP)、学術研究者、ソフトウェアベンダー、ツール開発者など、意思決定、運用防御、リスク管理を支えるためにCVEデータに依存するCVEリストデータの最終利用者の視点を代表することを目的としている。
「CWGは、利用者のニーズを特定し、CVEデータの使いやすさを評価し、CVEプログラムが現実世界のユースケースと整合し続けるよう改善を提言する」とCVE理事会は述べた。
CWGは、CVE理事会メンバー、CVE採番機関(CNA)—CVEを公開するために審査された組織—、認定データ発行者(ADP)—CVEデータを拡充する権限を与えられた組織—に加え、CVEデータを利用して扱う外部ステークホルダーや、「CVEの利用に関して関連する視点を持つ」個人にも開かれている。
Ampere Software Technologyで脆弱性管理を専門とするサイバーセキュリティ・アーキテクトのJean-Baptiste Maillet氏は、LinkedInへの投稿で、この立ち上げを歓迎した。
「利用者がCVEプログラムで発言権を得るまでに25年以上かかったが、遅くてもないよりはましだ」と同氏は述べた。
リサーチャー・ワーキンググループ:研究およびバグバウンティCNAに限定
RWGは、指定されたリサーチャーCVE採番機関(CNA)の拡張コミュニティに向けて、作業上の規範を確立することに専念する。
「これには、研究コミュニティへの指針や助言の提供に加え、CVEプログラムの推進を目的としたその他の研究コミュニティ活動も含まれる」とCVE理事会は説明した。
RWGはTLP:Amber指定の下で運営され、グループ内で共有される情報は参加者およびその所属組織に限定され、さらなる配布は必要最小限(need-to-know)に基づく場合にのみ、限定的に認められることを意味する。
RWGへの参加はCWGよりも制限が厳しく、CVE理事会と、研究CNAまたはバグバウンティCNAとして指定された現在活動中のCNAの代表者のみが参加できる。
研究CNAまたはバグバウンティCNAとの関係がない個人は、現メンバーの合意により承認された場合にのみRWGのミートアップに参加できる。
CWGとRWGはいずれも、現在メンバーの参加を受け付けている。
画像クレジット:CVE/MITRE
翻訳元: https://www.infosecurity-magazine.com/news/cve-program-new-user-researcher/
