CVE Numbering Authority (CNA)
Что такое CVE Numbering Authority (CNA)?
CVE Numbering Authority (CNA)Организация, уполномоченная программой CVE присваивать идентификаторы CVE и публиковать записи CVE для уязвимостей в рамках своей области ответственности.
CVE Numbering Authority (CNA) — это организация, уполномоченная программой CVE (координируется MITRE Corporation при поддержке CISA) присваивать идентификаторы CVE и публиковать записи CVE для уязвимостей в определённой области ответственности. К CNA относятся вендоры, open-source-проекты, платформы bug bounty, национальные CERT и исследовательские организации. Каждая CNA работает по CNA Rules, соблюдает сроки координированного раскрытия и отправляет записи (CVE JSON 5.x) в CVE List через CVE Services API. Корневая Root CNA верхнего уровня (например, CISA-ICS или MITRE) координирует и разрешает споры между подчинёнными CNA в своей иерархии. CNA являются точкой входа для записей CVE в глобальную экосистему уязвимостей.
● Примеры
- 01
Вендор ПО становится CNA, чтобы присваивать CVE ID уязвимостям собственных продуктов.
- 02
Платформа bug bounty работает как CNA of Last Resort и присваивает идентификаторы уязвимостям, найденным исследователями.
● Частые вопросы
Что такое CVE Numbering Authority (CNA)?
Организация, уполномоченная программой CVE присваивать идентификаторы CVE и публиковать записи CVE для уязвимостей в рамках своей области ответственности. Относится к категории Соответствие и стандарты в кибербезопасности.
Что означает CVE Numbering Authority (CNA)?
Организация, уполномоченная программой CVE присваивать идентификаторы CVE и публиковать записи CVE для уязвимостей в рамках своей области ответственности.
Как защититься от CVE Numbering Authority (CNA)?
Защита от CVE Numbering Authority (CNA) обычно сочетает технические меры и операционные практики, как описано в определении выше.
Какие есть другие названия CVE Numbering Authority (CNA)?
Распространённые альтернативные названия: CNA.