Recientemente, ha surgido en la comunidad de desarrolladores la necesidad de mejorar la información relacionada con los identificadores de vulnerabilidades comunes (CVE, por sus siglas en inglés), un sistema utilizado para rastrear las vulnerabilidades de software. Cuando una dependencia vulnerable impacta en un software específico, es posible crear un aviso de seguridad del repositorio para alertar al resto de la comunidad; sin embargo, para que la información llegue a la fuente de datos más upstream, es necesario contactar a la Autoridad de Numeración CVE (CNA) que emitió dicho ID.
GitHub, a través de una red de más de 400 CNAs, se ha declarado dispuesto a ayudar en aquellos casos donde la CVE fue emitida por ellos. Para facilitar este proceso, es esencial que los desarrolladores sigan unos pasos concretos: primero, localizar la CNA que emitió el CVE consultando el registro disponible en el sitio web de CVE. Esta información se encuentra claramente indicada en la sección de información requerida de cada registro CVE.
Una vez identificada la CNA, el siguiente paso consiste en hallar sus datos de contacto, los cuales están disponibles en el sitio web de socios de CVE. Esto implica buscar el nombre de la CNA en la barra de búsqueda. Algunos organismos tienen múltiples CNAs, por lo que es importante garantizar que se está contactando a la CNA correcta.
La comunicación con la CNA puede realizarse mayoritariamente por medio de correo electrónico. La mayoría de las CNAs proporcionan una dirección de correo destinada a comunicaciones relacionadas con CVE. No obstante, existen excepciones, como el caso de la Corporación MITRE, que utiliza un formulario web para enviar solicitudes relativas a la creación, actualización o disputa de CVEs.
Al comunicarse con la CNA, es fundamental incluir información clara y específica sobre el CVE en cuestión. Esto incluye el ID del CVE, la información que se desea agregar, eliminar o modificar, el motivo detrás de la solicitud, y evidencia de apoyo que justifique los cambios propuestos, como enlaces a reportes públicos de vulnerabilidades o notas de lanzamiento que describan parches.
En caso de que la CNA no responda o no se llegue a un acuerdo sobre el contenido del registro CVE, existe un proceso de disputa que puede ser utilizado. Detalles sobre cómo proceder con una disputa están disponibles en la política y procedimiento del programa CVE.
Es crucial para los desarrolladores y la comunidad de seguridad contar con registros CVE precisos y actualizados, ya que esto no solo ayuda a identificar vulnerabilidades, sino que también facilita la mitigación de riesgos en el amplio ecosistema de software. La colaboración en la mejora de estos registros es un paso clave para fortalecer la seguridad de las aplicaciones que todos utilizamos.
vía: GitHub Security
