curl diventa CVE Numbering Authority e, finalmente, le segnalazioni di bug avranno un senso
Della battaglia in merito alle segnalazioni di CVE insensate che il progetto curl, per mezzo del suo creatore e principale maintainer Daniel Stenberg, sta portando avanti da molto tempo abbiamo parlato parecchio nel recente passato.
Tra il programma di bug bounty pieno di segnalazioni fatte da intelligenze artificiali e la gestione di CVE come la CVE-2023-38545 curl è costantemente alla ricerca del miglior modo di valutare e gestire le vulnerabilità.
La scorsa settimana Stenberg ha riportato un importante annuncio in questo senso: curl è diventato una CNA ossia una CVE Numbering Authority il che significa come per tutti i prodotti creati e manutenuti dal progetto, vedi curl, libcurl e trurl.
Ma cosa significa essere un CNA, ossia CVE Numbering Authority (gli americani amano talmente tanto gli acronimi da creare gli acronimi di acronimi, come in questo caso)? Una CNA è un’organizzazione autorizzata a assegnare identificatori univoci chiamati CVE (Common Vulnerabilities and Exposures) alle vulnerabilità informatiche.
Come spiega il post questo significa che curl, essendo la trecentocinquantunesima CNA, potrà:
[…] we will reserve and manage our own CVEs in the future directly against the CVE database with no middle man, and also that we have a scope for CVEs that is our territory: curl and libcurl. No one else can now register CVEs for our products – without involving us. (There’s an appeals process so someone can still actually file CVEs for issues even if we say no, but at least there’s a process where both sides will argue their points.)
In futuro, riserveremo e gestiremo autonomamente i nostri CVE direttamente nel database CVE, senza intermediari, e avremo anche un ambito per i CVE che riguarda il nostro territorio: curl e libcurl. Ora nessun altro può registrare CVE per i nostri prodotti senza coinvolgerci. (Vi è un processo di appello, quindi qualcuno può comunque segnalare CVE per problemi anche se diciamo di no, ma almeno c’è un processo in cui entrambe le parti discuteranno i propri punti di vista).
Pertanto, situazioni come quelle che abbiamo raccontato in merito agli assurdi CVE senza capo né coda non dovrebbero più verificarsi.
Pensando alla logicità di questa scelta, vien da pensare al perché non sia stata fatta prima, ma è inutile ragionare sul passato. Fortunatamente le cose sono cambiate ed i nuovi CVE di curl saranno doppiamente da tenere d’occhio poiché idealmente saranno autentici!
Raoul Scarazzini
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.
Se vuoi sostenerci, puoi farlo acquistando qualsiasi cosa dai diversi link di affiliazione che abbiamo nel nostro sito o partendo da qui oppure alcune di queste distribuzioni GNU/Linux che sono disponibili sul nostro negozio online, quelle mancanti possono essere comunque richieste, e su cui trovi anche PC, NAS e il ns ServerOne. Se ti senti generoso, puoi anche donarmi solo 1€ o più se vuoi con PayPal e aiutarmi a continuare a pubblicare più contenuti come questo. Grazie!
Hai dubbi o problemi? Ti aiutiamo noi!
Se vuoi rimanere sempre aggiornato, iscriviti al nostro canale Telegram.Se vuoi ricevere supporto per qualsiasi dubbio o problema, iscriviti alla nostra community Facebook o gruppo Telegram.
Cosa ne pensi? Fateci sapere i vostri pensieri nei commenti qui sotto.
Ti piace quello che leggi? Per favore condividilo con gli altri.