Della battaglia in merito alle segnalazioni di CVE insensate che il progetto curl, per mezzo del suo creatore e principale maintainer Daniel Stenberg, sta portando avanti da molto tempo abbiamo parlato parecchio nel recente passato.
Tra il programma di bug bounty pieno di segnalazioni fatte da intelligenze artificiali e la gestione di CVE come la CVE-2023-38545 curl è costantemente alla ricerca del miglior modo di valutare e gestire le vulnerabilità.
La scorsa settimana Stenberg ha riportato un importante annuncio in questo senso: curl è diventato una CNA ossia una CVE Numbering Authority il che significa come per tutti i prodotti creati e manutenuti dal progetto, vedi curl, libcurl e trurl.
Ma cosa significa essere un CNA, ossia CVE Numbering Authority (gli americani amano talmente tanto gli acronimi da creare gli acronimi di acronimi, come in questo caso)? Una CNA è un’organizzazione autorizzata a assegnare identificatori univoci chiamati CVE (Common Vulnerabilities and Exposures) alle vulnerabilità informatiche.
Come spiega il post questo significa che curl, essendo la trecentocinquantunesima CNA, potrà:
[…] we will reserve and manage our own CVEs in the future directly against the CVE database with no middle man, and also that we have a scope for CVEs that is our territory: curl and libcurl. No one else can now register CVEs for our products – without involving us. (There’s an appeals process so someone can still actually file CVEs for issues even if we say no, but at least there’s a process where both sides will argue their points.)
In futuro, riserveremo e gestiremo autonomamente i nostri CVE direttamente nel database CVE, senza intermediari, e avremo anche un ambito per i CVE che riguarda il nostro territorio: curl e libcurl. Ora nessun altro può registrare CVE per i nostri prodotti senza coinvolgerci. (Vi è un processo di appello, quindi qualcuno può comunque segnalare CVE per problemi anche se diciamo di no, ma almeno c’è un processo in cui entrambe le parti discuteranno i propri punti di vista).Pertanto, situazioni come quelle che abbiamo raccontato in merito agli assurdi CVE senza capo né coda non dovrebbero più verificarsi.
Pensando alla logicità di questa scelta, vien da pensare al perché non sia stata fatta prima, ma è inutile ragionare sul passato. Fortunatamente le cose sono cambiate ed i nuovi CVE di curl saranno doppiamente da tenere d’occhio poiché idealmente saranno autentici!
Da sempre appassionato del mondo open-source e di Linux nel 2009 ho fondato il portale Mia Mamma Usa Linux! per condividere articoli, notizie ed in generale tutto quello che riguarda il mondo del pinguino, con particolare attenzione alle tematiche di interoperabilità, HA e cloud.
E, sì, mia mamma usa Linux dal 2009.