پروژهای جدید با نام Global CVE Allocation System (GCVE) در حال بازتعریف نحوهی شناسایی و تخصیص شناسه به آسیبپذیریهاست. برخلاف روشهای سنتی که به مراکز ثبت مرکزی وابسته بودند، GCVE با غیرمتمرکزسازی فرآیند، به سازمانها امکان میدهد با سرعت و استقلال بیشتری آسیبپذیریهای امنیتی را مدیریت کنند.
در GCVE، موجودیتهایی با نام GCVE Numbering Authorities (GNAs) به عنوان نهادهای تأییدشده، مسئول مستقیم تخصیص شناسههای GCVE هستند. هر GNA دارای شناسه عددی منحصربهفردی است که در فرمت ID نهایی گنجانده میشود.
ساختار شناسهها در GCVE:
-
GCVE: پیشوند ثابت
-
GNA ID: شناسه تخصیصدهنده
-
YEAR: سال افشا یا تخصیص
-
UNIQUE ID: شناسه یکتای داخلی
نمونهها:
-
GCVE-0-2023-40224→ نگاشتشده از CVE-2023-40224 -
GCVE-1-2025-00001→ تخصیص توسط GNA شماره ۱ -
GCVE-5-2024-12345→ تخصیص توسط GNA شماره ۵ در سال ۲۰۲۴
نکته مهم این است که GCVE جایگزین CVE نیست، بلکه آن را گسترش میدهد. تمامی CVEهای فعلی تحت GNA ID صفر نگاشت میشوند که سازگاری کامل با ساختارهای قبلی را تضمین میکند.
شرایط تبدیل شدن به GNA:
-
CVE CNA بودن
-
CSIRT یا CERT معتبر از سازمانهایی نظیر FIRST.org یا EU CSIRTs
-
فروشندگان با CPE ثبتشده و سابقه افشای آسیبپذیری
-
برنامه افشای عمومی با دسترسی به دادههای تخصیص
درخواست GNA باید بهصورت فایل JSON ارسال شود و حاوی اطلاعاتی نظیر نام سازمان، لینک API و فید افشای عمومی باشد. ایمیل درخواست: [email protected]
مزایای کلیدی GCVE:
تخصیص غیرمتمرکز و فوری شناسهها
انعطاف در سیاستهای افشا و هماهنگی
سازگاری کامل با CVE و ابزارهای امنیتی فعلی
پشتیبانی از API و فید JSON برای خودکارسازی
حذف گلوگاههای موجود در سیستم مرکزی
با افزایش تهدیدات و گستردگی زنجیره تأمین نرمافزارها، مدلهای متمرکز دیگر پاسخگو نیستند. GCVE قدمی مهم در جهت دموکراتیزهکردن مدیریت آسیبپذیریهاست—و قدرت را به افشاگران، مدافعان و تحلیلگران امنیتی بازمیگرداند.
یک نظر