GitHub: leveranciers en maintainers huiverig om CVE aan te vragen
Softwareleveranciers en open source maintainers zijn vaak huiverig om een CVE-nummer voor een kwetsbaarheid aan te vragen, waardoor gebruikers niet weten dat er een beveiligingslek aanwezig is. Iets wat niet verstandig is, zo stelt GitHub. Het populaire platform voor softwareontwikkelaars pleit dan ook voor transparantie en roept ontwikkelaars op om bij twijfel altijd een CVE aan te vragen.
CVE staat voor Common Vulnerabilities and Exposures en voorziet elke kwetsbaarheid van een uniek nummer. Dit maakt het eenvoudiger om kwetsbaarheden te volgen, informatie uit te wisselen en beveiligingsproducten te beoordelen. Het CVE-nummer, dat wordt uitgegeven door een CVE Numbering Authority (CNA), begint met de letters CVE, gevolgd door een jaartal en een getal van vijf cijfers.
Volgens Madison Oliver van GitHub zijn er verschillende misvattingen rond CVE-nummers, waardoor leveranciers en maintainers ze niet aanvragen. Zo wordt gedacht dat CVE-nummers alleen zijn voor kritieke problemen, slecht voor de reputatie van de betreffende software of maintainer zijn en het verkrijgen van een CVE een moeizaam en tijdrovend proces is.
Oliver stelt dat het juist belangrijk is om altijd zo transparant als mogelijk te zijn en altijd een CVE aan te vragen en een advisory te publiceren, ook voor minder ernstige kwetsbaarheden. "Maar gebruik je advisory om de technische details te publiceren, zodat je gebruikers hun eigen geïnformeerde beslissingen kunnen maken of ze echt in paniek moeten raken."
Juist door transparant te zijn over mogelijk kwetsbaarheden kunnen leveranciers en maintainers laten zien dat ze security serieus nemen wat het vertrouwen in het project vergroot, merkt Oliver op. "Het idee dat een CVE een blamage voor je project is klopt niet. CVE is een trackingnummer, niets meer, niets minder, en geeft ook niet de ernst aan.".
Onlangs kwam securitybedrijf WatchGuard onder vuur te liggen omdat het een kritieke kwetsbaarheid in de eigen firewalls, waar uiteindelijk misbruik van werd gemaakt, zeven maandenlang niet expliciet had vermeld. Ook had het bedrijf geen CVE-nummer aangevraagd.
Dit is dan ook het grote probleem bij veel fabrikanten er is nog geen security awareness. of procedures om daar mee om te gaan binnen het bedrijf en het aan de buiten wereld mede te delen.
Je dendert dus af op vanzelf groter wordende systematische outings, zoals voorspeld door WEF.
De zwakste schakel is altijd het onderhoud en de rekening ervoor zit steeds onder in de zak.
Zolang we commercie op de troon laten zitten en regulering uiteindelijk het tandenloze schoothondje blijft,
wordt het slechts erger.
Deze posting is gelocked. Reageren is niet meer mogelijk.
Toezichthouder informatiebeveiliging Overheid
Rijksinspectie Digitale Infrastructuur (RDI)
Vind je het leuk om als toezichthouder bij te dragen aan de verdere groei in informatie-beveiliging van de overheid en in contact te staan met (belangen) organisaties binnen de overheid? Dan kun je komen bouwen aan toezicht op een veilige en betrouwbare Digitale Infrastructuur in Nederland.
Adviseur Informatiebeveiliging
Je bent een belangrijke speler om invulling te geven aan de gemeentelijke ambities op het gebied van informatiebeveiliging. Deze ambities neem jij op in het Informatie-beveiligingsbeleid Gemeente Zoetermeer. Wil je helpen bij het verbeteren van de informatiebeveiliging in Zoetermeer en het versterken van het cyberbewustzijn binnen onze organisatie? Wacht dan niet en kom ons team informatiebeveiliging versterken!
Digital Designer
Ben jij een Grafisch vormgever, UI-designer, Game-artist of gewoon een ‘self-proclaimed creative genius’, die op zoek is naar een leuke en uitdagende baan waarin je al je creativiteit kwijt kan?Je werkt samen met onze developers en UI/UX-designer aan onze Gamified Cybersecurity Challenges welke jij voorziet van de mooiste designs.
Senior Full Stack Developer
Als full stack developer bij Certified Secure maak je de mooiste cybersecurity challenges die onze deelnemers wereldwijd uitdagen en inspireren. Alle challenges zijn gebaseerd op actuele kwetsbaarheden, je komt dus telkens nieuwe technieken tegen, van machine learning tot web assembly, van Swift UI tot GCP.