Recientemente, la comunidad de desarrolladores ha identificado una creciente necesidad de perfeccionar la información relacionada con los identificadores de vulnerabilidades comunes, más conocidos como CVEs. Estos identificadores son esenciales para rastrear vulnerabilidades en software, y una gestión adecuada de los mismos es crucial para mantener la seguridad en el cada vez más complejo entorno tecnológico.
Cuando un software específico se ve afectado por una dependencia vulnerable, es posible crear un aviso de seguridad en el repositorio correspondiente, advirtiendo al resto de la comunidad. Sin embargo, para asegurar que esta información alcance la base de datos más upstream, es preciso ponerse en contacto con la Autoridad de Numeración CVE (CNA) que emitió el identificador en cuestión.
En este sentido, GitHub ha mostrado su disposición a colaborar, especialmente en aquellos casos donde los identificadores CVE han sido emitidos por ellos mismos. Apoyados por una red de más de 400 CNAs, la plataforma busca facilitar el proceso de comunicación. Los desarrolladores, como primer paso, deben localizar la CNA correspondiente, consultando el registro disponible en el sitio web de CVE. Esta identificación es crucial para seguir los procedimientos correctos al actualizar o corregir un CVE.
Tras identificar la CNA, el desarrollador debe localizar sus datos de contacto, información accesible a través del sitio web de socios de CVE. Es importante destacar que algunas organizaciones operan con múltiples CNAs, por lo cual, se debe tener precaución al seleccionar la correcta. La comunicación suele realizarse por correo electrónico, aunque existen excepciones; por ejemplo, la Corporación MITRE requiere el uso de un formulario web para gestionar solicitudes sobre los CVEs.
Al contactar a la CNA, se aconseja proporcionar información detallada sobre el CVE en cuestión. Incluir el identificador del CVE, la información que se desea modificar, así como el motivo detrás de la solicitud y evidencias de apoyo, ayuda en el proceso de validación y eventual modificación del registro.
Si no se logra una respuesta satisfactoria o no se alcanza un consenso con la CNA acerca del contenido del registro, hay un proceso de disputa disponible, cuyas instrucciones detalladas se encuentran en la política del programa CVE.
Para la comunidad de seguridad y los desarrolladores, contar con registros CVE precisos y actualizados es de suma importancia. No solo contribuyen a identificar y mitigar vulnerabilidades, sino que también desempeñan un rol central en la seguridad del software global. Así, la colaboración activa en el mantenimiento y mejora de estos registros se convierte en un pilar esencial para reforzar la integridad de las aplicaciones que usamos a diario.
