Recientemente, la comunidad de desarrolladores se enfrenta a un desafío creciente: mejorar la precisión de los registros de vulnerabilidades comunes, conocidas como CVE por sus siglas en inglés. Este sistema es crucial para rastrear problemas de seguridad en el software. Cuando una vulnerabilidad afecta a un software específico, es posible emitir un aviso de seguridad para alertar a la comunidad. Sin embargo, para asegurar que esta información llegue al origen de datos más confiable, es necesario contactar a la Autoridad de Numeración CVE (CNA) responsable de la emisión del identificador.
GitHub ha expresado su disposición para ayudar en este proceso a través de su red de más de 400 CNAs, especialmente cuando el CVE ha sido emitido por ellos mismos. Para facilitar el flujo de información, los desarrolladores deben seguir una serie de pasos puntuales. El primero de ellos es identificar la CNA que emitió el CVE, consultando el registro disponible en el sitio web oficial de CVE, donde esta información está claramente especificada.
Una vez identificada la CNA, el desarrollador debe buscar los datos de contacto correspondientes en el sitio web de socios de CVE. La búsqueda del nombre de la CNA en la barra de navegación del sitio es esencial. Es importante ser meticuloso, ya que algunas organizaciones cuentan con múltiples CNAs.
El contacto inicial se realiza generalmente por correo electrónico, dado que la mayoría de las CNAs proporcionan una dirección específica para tratar asuntos relacionados con CVE. No obstante, hay excepciones, como la Corporación MITRE, que emplea un formulario web para gestionar solicitudes de creación, actualización o contestación de CVEs.
En toda comunicación con la CNA, es vital incluir detalles claros sobre el CVE involucrado: el ID específico, la información que se desea ajustar, las razones de la solicitud y evidencia que respalde la modificación, tales como enlaces a informes de vulnerabilidades o notas de lanzamiento de parches.
Si la CNA no responde o no se llega a un acuerdo, se dispone de un proceso de disputa documentado en las políticas del programa CVE. Este mecanismo es fundamental para resolver discrepancias sobre el contenido del registro.
Para la comunidad de tecnologías y seguridad, resulta esencial mantener los registros CVE precisos y al día, ya que facilitan la identificación y mitigación de riesgos dentro del complejo ecosistema de software. La colaboración activa en este ámbito refuerza la seguridad de las aplicaciones que todos utilizamos a diario.
