Recientemente, la comunidad de desarrolladores ha resaltado la importancia de mejorar la información relacionada con los identificadores de vulnerabilidades comunes (CVE), un sistema esencial para el seguimiento de vulnerabilidades en software. Cuando una dependencia vulnerable afecta a un software específico, se puede emitir un aviso de seguridad desde el repositorio afectado para alertar a la comunidad. Sin embargo, para que esta información se propague a la fuente de datos original, es fundamental contactar con la Autoridad de Numeración CVE (CNA) que emitió el identificador específico.
GitHub ha mostrado su disposición a colaborar en estos casos mediante su red de más de 400 CNAs, siempre que el CVE haya sido emitido por ellos. A fin de simplificar este procedimiento, los desarrolladores deben seguir pasos determinados. Inicialmente, deben identificar la CNA responsable del CVE, lo cual puede realizarse consultando el registro pertinente en el sitio web de CVE, donde esta información aparece detalladamente.
Una vez ubicada la CNA, el paso siguiente es buscar sus datos de contacto en el sitio web de socios de CVE. Al introducir el nombre de la CNA en la barra de búsqueda, los desarrolladores pueden obtener la información necesaria. Es importante cerciorarse de contactar al organismo correcto, dado que algunas entidades poseen múltiples CNAs.
La comunicación con la CNA habitualmente se efectúa vía correo electrónico, pues la mayoría proporciona una dirección específica para tratar asuntos relacionados con CVE. No obstante, entidades como la Corporación MITRE utilizan formularios web para gestionar solicitudes sobre CVEs, ya sea para crear, actualizar o impugnar información.
Al establecer contacto, es crucial incluir información precisa sobre el CVE en cuestión. Esto abarca desde el ID del CVE hasta los detalles que se desean ajustar, junto con el motivo de la solicitud y las pruebas que respalden los cambios, como enlaces a reportes públicos de vulnerabilidades o notas de lanzamientos que describan parches.
Si la CNA no responde o no se alcanza un acuerdo sobre el contenido del CVE, existe un procedimiento de disputa al cual se puede recurrir. Las directrices para iniciar una disputa se encuentran en la política y procedimientos del programa CVE.
Mantener los registros CVE precisos y actualizados es vital tanto para los desarrolladores como para la comunidad de seguridad, ya que esto no solo permite identificar vulnerabilidades, sino también mitigar riesgos dentro del vasto ecosistema de software. La cooperación para mejorar estos registros es fundamental para fortalecer la seguridad de las aplicaciones que todos utilizamos.
