Recientemente, en la comunidad de desarrolladores ha surgido una creciente necesidad de optimizar la información vinculada a los identificadores de vulnerabilidades comunes (CVE, por sus siglas en inglés), un sistema ampliamente utilizado para rastrear vulnerabilidades en el software. Cuando una dependencia vulnerable impacta un software específico, es posible emitir un aviso de seguridad desde el repositorio para alertar a la comunidad, sin embargo, para que la información llegue a la fuente más upstream, es imprescindible ponerse en contacto con la Autoridad de Numeración CVE (CNA) responsable de emitir dicho identificador.
GitHub, apoyado por una red de más de 400 CNAs, ha manifestado su disposición para asistir cuando la CVE ha sido expedida por ellos. Para agilizar este proceso, se requiere que los desarrolladores sigan una serie de pasos concretos. En primer lugar, deben identificar la CNA que emitió la CVE, consultando el listado disponible en la página web oficial de CVE. Esta información generalmente está claramente indicada en la sección de datos requeridos de cada registro CVE.
Una vez localizada la CNA, el siguiente paso consiste en encontrar sus datos de contacto, los cuales pueden ser ubicados en el sitio web asociado de CVE. Esto implica introducir el nombre de la CNA en la barra de búsqueda. Cabe destacar que algunos organismos cuentan con varias CNAs, por lo que es crítico que se asegure de contactar a la adecuada.
La mayoría de las comunicaciones con la CNA se llevan a cabo a través de correo electrónico. Muchas CNAs disponen de una dirección de correo específica para comunicaciones relacionadas con CVE. Sin embargo, existen ciertas excepciones, como la Corporación MITRE, que prefiere el uso de un formulario web para enviar solicitudes de creación, actualización o disputa de CVEs.
Durante la comunicación con la CNA, es imprescindible proporcionar información clara y específica respecto al CVE en cuestión. Esto debe incluir el ID del CVE, la información que se desea añadir, eliminar o modificar, la razón detrás de la solicitud, y evidencia adicional que respalde los cambios propuestos, como enlaces a reportes públicos de vulnerabilidades o notas de lanzamiento detallando parches.
Si la CNA no responde o existe desacuerdo sobre el contenido del registro CVE, existe un proceso de disputa que puede ser seguido. Detalles precisos sobre cómo proceder con una disputa están detallados en las políticas y procedimientos del programa CVE.
Para los desarrolladores y la comunidad de seguridad, es vital contar con registros CVE precisos y actualizados, ya que esto no solo facilita la identificación de vulnerabilidades, sino que también contribuye significativamente a mitigar riesgos dentro del amplio ecosistema del software. La colaboración en la mejora de estos registros es un paso clave para reforzar la seguridad de las aplicaciones utilizadas a diario.
