CVE Numbering Authority (CNA)
Qu'est-ce que CVE Numbering Authority (CNA) ?
CVE Numbering Authority (CNA)Organisation habilitée par le programme CVE à attribuer des identifiants CVE et à publier des enregistrements pour les vulnérabilités situées dans son périmètre défini.
Une CVE Numbering Authority (CNA) est une organisation habilitée par le programme CVE — coordonné par MITRE Corporation sous parrainage de la CISA — à attribuer des identifiants CVE et à publier des enregistrements de vulnérabilités affectant des produits ou projets situés dans un périmètre défini. Les CNA incluent éditeurs, projets open source, plateformes de bug bounty, CERT nationaux et organismes de recherche. Chaque CNA opère selon les CNA Rules, respecte des délais de divulgation coordonnée et soumet ses enregistrements (CVE JSON 5.x) à la CVE List via l'API CVE Services. Une Root CNA de niveau supérieur (comme CISA-ICS ou MITRE) coordonne et arbitre les litiges des sous-CNA de sa hiérarchie. Les CNA constituent la porte d'entrée des enregistrements CVE dans l'écosystème mondial des vulnérabilités.
● Exemples
- 01
Un éditeur logiciel devenant CNA pour attribuer des CVE à ses propres produits.
- 02
Une plateforme de bug bounty agissant en CNA of Last Resort pour attribuer des identifiants aux failles signalées par des chercheurs.
● Questions fréquentes
Qu'est-ce que CVE Numbering Authority (CNA) ?
Organisation habilitée par le programme CVE à attribuer des identifiants CVE et à publier des enregistrements pour les vulnérabilités situées dans son périmètre défini. Cette notion relève de la catégorie Conformité et référentiels en cybersécurité.
Que signifie CVE Numbering Authority (CNA) ?
Organisation habilitée par le programme CVE à attribuer des identifiants CVE et à publier des enregistrements pour les vulnérabilités situées dans son périmètre défini.
Comment se défendre contre CVE Numbering Authority (CNA) ?
Les défenses contre CVE Numbering Authority (CNA) combinent habituellement des contrôles techniques et des pratiques opérationnelles, comme détaillé dans la définition ci-dessus.
Quels sont les autres noms de CVE Numbering Authority (CNA) ?
Noms alternatifs courants : CNA.