Assegnazione dei numeri CVE per il kernel Linux

Sono passati quattro mesi da quando il progetto kernel Linux è diventato una propria CVE Numbering Authority (CNA). Nel frattempo, il team Linux CNA ha sviluppato flussi di lavoro e meccanismi per gestire i vari compiti associati a questa sfida. Tuttavia, sembra esserci una mancanza di comprensione tra i membri della comunità riguardo ai processi e alle regole del team. La principale finalità di questo articolo è chiarire il funzionamento del team e come vengono assegnati i numeri CVE del kernel. Alcuni annunci CVE iniziali hanno sollevato domande sia sulle mailing list che al di fuori. Messaggi di sostegno fermo sono giunti da chi dedica tempo significativo alla sicurezza Linux, mentre altre preoccupazioni sono state espresse da distributori e team che gestiscono piattaforme enterprise. Anche se le opinioni sono varie, una cosa è comunemente accettata: il vecchio processo CVE non funzionava bene.