Recientemente, ha surgido en la comunidad de desarrolladores la necesidad urgente de mejorar la gestión de los identificadores de vulnerabilidades comunes (CVE, por sus siglas en inglés), un sistema crucial para rastrear las vulnerabilidades de software. Actualmente, cuando una dependencia vulnerable afecta a un software específico, se puede emitir un aviso de seguridad en el repositorio correspondiente para alertar a la comunidad. Sin embargo, para que esta información alcance la fuente de datos más upstream, es esencial contactar a la Autoridad de Numeración CVE (CNA) que generó dicho ID.
GitHub, contando con el respaldo de una red de más de 400 CNAs, ha mostrado disposición para asistir en los casos donde la CVE haya sido emitida por ellos. Este proceso requiere que los desarrolladores sigan ciertos pasos: primero, deben identificar la CNA que emitió el CVE, lo cual se puede hacer consultando el registro en el sitio oficial de CVE. Esta información está claramente indicada en la sección de información requerida de cada registro CVE.
Una vez que la CNA ha sido identificada, el siguiente paso es encontrar sus datos de contacto, disponibles en el sitio web de socios de CVE. Esto incluye buscar el nombre de la CNA en la barra de búsqueda pertinente. Es importante destacar que algunos organismos trabajan con múltiples CNAs, por lo que es crucial asegurar que se está contactando a la CNA correcta.
La mayor parte de la comunicación con la CNA se realiza por correo electrónico, ya que la mayoría de estas autoridades proporcionan un correo destinado a temas relacionados con CVE. Sin embargo, existen excepciones, como la Corporación MITRE, que emplea un formulario web para manejar solicitudes de creación, actualización o disputa de CVEs.
Al entablar comunicación con la CNA, es vital incluir detalles claros y precisos sobre el CVE en cuestión. Se debe incluir el ID del CVE, la información que se busca modificar, y proporcionar razones claras que justifiquen la necesidad de los cambios junto con evidencias de apoyo, como enlaces a reportes de vulnerabilidades o notas de lanzamiento que describan parches.
Si la CNA no responde o no se llega a un acuerdo sobre el contenido del registro CVE, existe un proceso de disputa que se puede iniciar. Los detalles para proceder en estos casos están especificados en las políticas y procedimientos del programa CVE.
Contar con registros CVE precisos y actualizados es crucial para los desarrolladores y la comunidad de seguridad en general, ya que no solo permite identificar vulnerabilidades, sino que también ayuda a mitigar riesgos dentro del ecosistema de software. La colaboración en la mejora de estos registros es un paso esencial para fortalecer la seguridad de las aplicaciones que utilizamos diariamente. vía: GitHub Security
