Markus Glaser and Robert Vogel
Als Open Source Softwareentwickler haben wir uns gefragt, wie wir unsere Nutzer über Sicherheitslücken am besten informieren können. Im Talk beschreiben wir unsere Erfahrungen und zeigen, wie man eigene CVEs erstellen kann.
Wenn man selbst Software entwickelt, kann es schon mal passieren, dass dabei eine Sicherheitslücke auftaucht. Wenn die Software aber noch Open Source ist, dann kann man nur schwerlich wissen, wer sie einsetzt. Ein verantwortungsvoller Umgang mit Sicherheitslücken bedeutet also auch, dass man die Betroffenen möglichst gut informiert. Dazu eignet sich die Common Vulnerabilities and Exposures Datenbank CVE. Aber wie kommt man an einen CVE-Eintrag? Wir sind den Weg gegangen, selbst CVEs für unser Programm zu vergeben. Dazu wurden wir eine CVE Numbering Authority (CNA).
Darüber wollen wir im Talk berichten und zeigen, wer und wie man das ebenfalls machen kann.