Recientemente, ha surgido en la comunidad de desarrolladores la urgencia de mejorar la gestión de la información sobre los identificadores de vulnerabilidades comunes (CVE, por sus siglas en inglés). Este sistema es fundamental para rastrear las vulnerabilidades de software. Cuando se detecta que una dependencia vulnerable impacta en un software específico, se puede elaborar un aviso de seguridad en el repositorio para alertar al resto de la comunidad. Sin embargo, para que esta información llegue a la fuente de datos más primaria, es imprescindible contactar a la Autoridad de Numeración CVE (CNA) que emitió dicho identificador.
GitHub, respaldado por una red que incluye más de 400 CNAs, ha manifestado su disposición para asistir en aquellos casos donde la CVE haya sido emitida por ellos. La clave para facilitar este proceso involucra una serie de pasos que los desarrolladores deben seguir. Inicialmente, es crucial localizar a la CNA que emitió el identificador CVE. Esto se puede realizar consultando el registro disponible en el sitio web de CVE, donde se indica claramente esta información en la sección de información requerida de cada registro.
Una vez que se identifica la CNA, el siguiente paso es encontrar sus datos de contacto. Esta información está disponible en el sitio web de socios de CVE, donde se debe buscar el nombre de la CNA en la barra de búsqueda. Es importante destacar que algunas organizaciones cuentan con múltiples CNAs, por lo que asegurar que se está contactando a la entidad adecuada es esencial.
La comunicación con la CNA suele realizarse a través de correo electrónico. La mayoría de las CNAs cuentan con una dirección de correo específica para asuntos relacionados con CVE. Sin embargo, existen excepciones como la Corporación MITRE, que utiliza un formulario web para gestionar solicitudes relacionadas con la creación, actualización o disputa de CVEs.
Al establecer contacto con la CNA, es crucial proporcionar información clara y específica sobre el CVE en cuestión. Esto debe incluir el ID del CVE, la información que se pretende agregar, eliminar o modificar, las razones detrás de la solicitud y evidencia que justifique los cambios propuestos, como enlaces a informes públicos de vulnerabilidades o notas de lanzamiento que detallen los parches.
En los casos en que la CNA no responda o no se llegue a un acuerdo sobre el contenido del registro CVE, los desarrolladores tienen a su disposición un proceso de disputa. Los detalles sobre cómo proceder en estos casos están disponibles en la política y el procedimiento del programa CVE.
Para los desarrolladores y la comunidad de seguridad en general, contar con registros CVE precisos y actualizados es vital. No solo permite identificar vulnerabilidades, sino que también facilita la mitigación de riesgos en el vasto ecosistema de software. La colaboración en la mejora de estos registros es un paso crucial para fortalecer la seguridad de las aplicaciones que todos utilizamos.
