Группа безопасности CPAN от Perl теперь является CNA и может присваивать CVE

С 1995 года Comprehensive Perl Archive Network (CPAN) хранит 221 742 модуля на языке Perl, написанные 14 548 авторами.

На этой неделе было объявлено, что группа безопасности CPAN "получила разрешение от CVE Program стать CVE Numbering Authority (CNA)" для назначения и управления идентификаторами уязвимостей CVE для Perl и модулей CPAN.

"Это замечательные новости!" — написал на социальных сетях Грег Кроах-Хартман, куратор Linux kernel. Он отметил, что данное объявление "пришлось как нельзя кстати перед моим выступлением по этому вопросу через несколько недель" на Линукс Фаундейшн Мембер Сапмит в Нэпе, Калифорния.

А создатель Curl Даниэль Стенберг добавил: "Я согласен с Грегом Кроах-Хартманом — все открытые проекты должны стать CNAs или объединиться для этого." (Также выразил поддержку Сет Ларсон, разработчик по безопасности Python Software Foundation, участвующий в успешном усилии по получению статуса CNA в 2023 году.)

Согласно официальному сайту CVE Program, сейчас уже 444 CNAs сотрудничают с программой. Объявление от PerlMonks.org:

Несколько лет назад во время Perl Toolchain Summit (PTS) было решено объединить усилия и знания для создания группы по мониторингу уязвимостей всего экосистемы Perl, начиная от ядра до самых небольших релизов CPAN. Цель заключалась в следовании законодательству и CVE-отчетам, а также помощи авторам в принятии мер для повышения безопасности.

Эта группа стабильно развивалась на протяжении последних лет и теперь известна как CPANSec.

Одной из ключевых задач группы является управление вопросами уязвимостей CVE. В этом направлении достигнут значительный успех: CPANSec только что получил разрешение стать CVE Numbering Authority (CNA) для Perl и модулей на CPAN.