Red Hat crea un foro sobre vulnerabilidades
La firma ha presentado una nueva iniciativa, implementada por el Instituto Nacional de Estándares y Tecnología, que permite a los miembros del sector del software comentar oficial y públicamente las vulnerabilidades.
Este servicio está siendo implementado en la base datos National Vulnerability Database (NVD) en el NIST (Instituto Nacional de Estándares y Tecnología), según la recomendación de Red Hat.
Red Hat abordó al NIST con la idea de utilizar la base de datos NVD para crear un servicio de comunicados oficiales de proveedores basado en la estandarización de la nomenclatura de las Vulnerabilidades y Exposiciones Comunes (CVE, Common Vulnerabilities and Exposures), aportando así a la industria del software un foro abierto y transparente para contribuir con información sobre vulnerabilidades. Tanto los proveedores de software de código abierto como los de software propietario tienen así la oportunidad de comentar las vulnerabilidades de sus productos y pueden utilizar el servicio de varios modos, incluyendo orientación sobre configuraciones y recuperaciones, clarificaciones sobre la aplicabilidad de la vulnerabilidad, análisis profundo de la vulnerabilidad, disputas sobre la información de vulnerabilidades de terceros y explicaciones sobre el impacto de la vulnerabilidad.
Red Hat será el primer colaborador del servicio mediante su aportación de actualizaciones a tiempo real a la base de datos NVD sobre cómo las vulnerabilidades pueden o, lo que es más importante, no pueden afectar a los productos Red Hat. Este recurso informativo es vital para la oportuna difusión de información sobre seguridad para los clientes de Red Hat y permitirá que los clientes actúen rápidamente si es necesario. Asimismo resulta el beneficio que pueden esperar los clientes a una escala mucho mayor cuando el servicio se utiliza por al industria del software de manera global.