curl 项目已被接受为 CVE 编号机构 (CNA)

curl 项目已被接受为 CVE 编号机构(CNA),这意味着他们将直接管理自己产品(包括 curl, libcurl 和 trurl)的 CVE。

CNA(CVE Numbering Authority,CVE 编号机构)是 CVE 编号的分发机构,主要职能是在授权范围内颁发和管理 CVE 编号。

viahttps://www.cve.org/Media/News/item/news/2024/01/16/curl-Added-as-CNA

curl 作者表示,未来将直接针对 CVE 数据库保留和管理他们自己的 CVE,无需中间人。而且在没有他们参与的情况下,其他人都无法为他们的产品注册 CVE。不过会有一个上诉流程,即使被拒绝,别人实际上仍然可以针对问题提交 CVE,因此有一个双方可以争论自己观点的流程。

curl 项目此举主要是为了应对虚假的CVE问题,以确保CVE的准确性和有效性。因为不久前 curl 作者表示,用户利用 LLM 生成虚假漏洞报告,这些报告看似专业,但实际上并不存在安全问题,这浪费了 curl 项目开发人员的时间和精力,也增加了安全评估的工作量。