写点什么

新思科技成为 CVE 编号授权机构 向公众发布更准确、实时的漏洞信息

发布于: 2021 年 04 月 09 日
新思科技成为CVE编号授权机构   向公众发布更准确、实时的漏洞信息

CVE 已经超过 20 年,但是收录的漏洞数量与实际发现的漏洞存在比较大的差距。为了缩小这个差距,联合业界力量,增加 CVE 编号授权机构是其中一种有效的方式。近日,新思科技通过了 CVE 考核,成为 CVE 编号授权机构,简化发布开源软件漏洞的流程,突显了其致力于提升软件生态系统安全性的承诺。

 

新思科技(Synopsys, Inc.,Nasdaq: SNPS)近日宣布其获 CVE(Common Vulnerabilities & Exposures,通用漏洞披露)颁发资质,成为CVE编号授权机构(CNA)。新思科技软件质量与安全部门现在有权给新发现的漏洞分配 CVE 标识号,并在关联的 CVE 记录中发布有关该漏洞的信息。


 自其网络安全研究中心成立以来,新思科技一直致力提升开源社区的安全性,包括利用Coverity Scan静态应用安全分析等测试工具、使用Black Duck Security Advisories向客户提供丰富的 CVE 数据,以及根据负责任的披露政策,向 CVE 和其他 CVE 编号授权机构提交发现的漏洞。作为 CVE 编号授权的新机构,新思科技简化流程,向公众发布准确、实时的漏洞信息。


 新思科技软件质量与安全部门的总经理 Jason Schmitt 表示: “我们非常高兴在提升软件安全方面又迈进一步,在这个广泛的软件生态系统参与漏洞信息管理。我们致力于软件应用安全,漏洞研究是嵌入我们基因的一部分。作为 CVE 编号授权机构,新思科技可以更高效地向客户和整个软件社区发布我们的研究成果,无论是发现新漏洞,还是现有的、可能不够准确或完整的 CVE 记录。”

 

CVE®是一个基于社区的国际性项目,旨在对已公开披露的网络安全漏洞进行识别、定义和分类。CVE 标识号由 CVE 编号授权构分配,基于参与企业自愿的情况下进行操作。 新思科技作为 CVE 编号授权机构与多个授权商业实体合作,例如 Linux、红帽、谷歌和微软。

 

新思科技软件质量与安全部门研究工程总监 Christopher Fearon 表示: “能够识别和获取准确且实时的漏洞信息对于保护软件供应链至关重要。随着我们扩展在新思科技网络安全研究中心的漏洞研发工作,成为 CVE 编号授权机构能够直接披露漏洞,可以提升我们研究的透明性和速度,从而增强研究实力。”


想要通过新思科技披露漏洞或了解我们负责的披露流程,请访问Responsible Disclosure Policy

用户头像

还未添加个人签名 2020.11.13 加入

还未添加个人简介

评论

发布
暂无评论
新思科技成为CVE编号授权机构   向公众发布更准确、实时的漏洞信息