Softwareleveranciers en open source maintainers zijn vaak huiverig om een CVE-nummer voor een kwetsbaarheid aan te vragen, waardoor gebruikers niet weten dat er een beveiligingslek aanwezig is. Iets wat niet verstandig is, zo stelt GitHub. Het populaire platform voor softwareontwikkelaars pleit dan ook voor transparantie en roept ontwikkelaars op om bij twijfel altijd een CVE aan te vragen.
CVE staat voor Common Vulnerabilities and Exposures en voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer, dat wordt uitgegeven door een CVE Numbering Authority (CNA), begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers.
Volgens Madison Oliver van GitHub zijn er verschillende misvattingen rond CVE-nummers, waardoor leveranciers en maintainers ze niet aanvragen. Zo wordt gedacht dat CVE-nummers alleen zijn voor kritieke problemen, slecht voor de reputatie van de betreffende software of maintainer zijn en het verkrijgen van een CVE een moeizaam en tijdrovend proces is.
Oliver stelt dat het juist belangrijk is om altijd zo transparant als mogelijk te zijn en altijd een CVE aan te vragen en een advisory te publiceren, ook voor minder ernstige kwetsbaarheden. "Maar gebruik je advisory om de technische details te publiceren, zodat je gebruikers hun eigen geïnformeerde beslissingen kunnen maken of ze echt in paniek moeten raken."
Juist door transparant te zijn over mogelijk kwetsbaarheden kunnen leveranciers en maintainers laten zien dat ze security serieus nemen wat het vertrouwen in het project vergroot, merkt Oliver op. "Het idee dat een CVE een blamage voor je project is klopt niet. CVE is een trackingnummer, niets meer, niets minder, en geeft ook niet de ernst aan.".
Onlangs kwam securitybedrijf WatchGuard onder vuur te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet had vermeld. Ook had het bedrijf geen CVE-nummer aangevraagd.
Deze posting is gelocked. Reageren is niet meer mogelijk.