Diferencia entre revisiones de «Common Vulnerabilities and Exposures»
Contenido eliminado Contenido añadido
Línea 6:
== Proceso de incorporación de una vulnerabilidad ==
Para que una vulnerabilidad recién descubierta sea incorporada totalmente al listado, tiene que seguir un proceso que consta de tres etapas:<ref name="foro"/>
* Etapa de presentación inicial y tratamiento. En ella el CVE Content Team se encarga de analizar, investigar y procesar las solicitudes de registro de nuevas vulnerabilidades para la lista CVE.
* Etapa de candidatura. Es la de asignación del CVE-ID, que puede llevarse a cabo de tres maneras distintas:
** Una asignación directa por parte del CVE Content Team después de que éste realice el estudio de la nueva propuesta de vulnerabilidad.
** Una asignación directa por parte del CVE Editor al ser difundida ampliamente una vulnerabilidad crítica. Ocurre por ejemplo cuando se descubre un [[ataque de día cero|fallo de día cero]] sin claro autor definido. Si no lo asume el fabricante, es esta organización la que directamente debe asignar un CVE para identificarlo.
Por esta razón la lista CVE no tiene [[ataque de día cero|vulnerabilidades de día cero]] (recién descubiertas).▼
** Una reserva de un identificador CVE-ID, por parte de una organización o individuo antes de hacer la propuesta. Habitualmente, los grandes fabricantes reservan en el año un "lote" de CVE que van asignando a sus boletines de seguridad.
* Etapa de publicación en la lista (si es que la candidatura es aceptada). Puede prolongarse un periodo de tiempo indefinido, ya que no solo consiste en agregar la entrada a la lista y publicarla en el sitio web del diccionario, sino que incluye también los procesos de revisión en la que se pueden tener cambios con respecto al contenido de la descripción o incluso añadir nuevas referencias que la sustenten.
▲
== Formato del identificador ==
| |||