Lösung der CVE-Krise: Professionelle Zertifizierung und obligatorische Berichterstattung von Schwachstellen
Das bevorstehende Auslaufen des MITRE-CVE-Vertrags hat Kontroversen ausgelöst und zu einem Vorschlag zur Verbesserung der Softwaresicherheit geführt. Das aktuelle CVE-System ist mit ungenauen Berichten überladen, was seinen Wert mindert. Der Autor schlägt ein System vor, das auf den Attributen von Schwachstellen anstatt auf Bewertungen basiert, sowie eine professionelle Zertifizierung für Softwareentwickler (PSWE). Das Versäumnis, Schwachstellen innerhalb eines bestimmten Zeitrahmens genau zu melden, würde zum Entzug der Lizenz führen und so die Meldung von Problemen fördern. Der Vorschlag umfasst die Finanzierung und Ausbildung zukünftiger PSWEs, wobei die Zugangsprobleme angegangen werden, um letztendlich ein Win-Win-Szenario für die Softwaresicherheit und die Nachhaltigkeit von FOSS-Projekten zu schaffen.