Relaciones

Recientemente, en la comunidad de desarrolladores ha surgido una creciente necesidad de optimizar la información vinculada a los identificadores de vulnerabilidades comunes (CVE, por sus siglas en inglés), un sistema ampliamente utilizado para rastrear vulnerabilidades en el software. Cuando una dependencia vulnerable impacta un software específico, es posible emitir un aviso de seguridad desde el repositorio para alertar a la comunidad, sin embargo, para que la información llegue a la fuente más upstream, es imprescindible ponerse en contacto con la Autoridad de Numeración CVE (CNA) responsable de emitir dicho identificador.


GitHub, apoyado por una red de más de 400 CNAs, ha manifestado su disposición para asistir cuando la CVE ha sido expedida por ellos. Para agilizar este proceso, se requiere que los desarrolladores sigan una serie de pasos concretos. En primer lugar, deben identificar la CNA que emitió la CVE, consultando el listado disponible en la página web oficial de CVE. Esta información generalmente está claramente indicada en la sección de datos requeridos de cada registro CVE.


Una vez localizada la CNA, el próximo paso consiste en localizar sus datos de contacto, los cuales pueden ser ubicados en el sitio web asociado de CVE. Esto implica introducir el nombre de la CNA en la barra de búsqueda. Cabe destacar que algunos organismos cuentan con varias CNAs, por lo que es crítico que se asegure de contactar a la adecuada.