Dalam upaya untuk mengurangi penggunaan nama kerentanan yang sensasional dan menakutkan, tim CERT/CC meluncurkan bot Twitter yang akan menetapkan nama secara random dan netral ke setiap bug keamanan yang menerima pengenal CVE.
Dinamakan Vulnonim, bot dioperasikan oleh Pusat Koordinasi CERT (CERT/CC) di Universitas Carnegie Mellon, tim CERT pertama yang dibuat, dan sekarang menjadi kolaborator dan mitra tim resmi US-CERT DHS.
Ide untuk bot ini muncul setelah diskusi yang tampaknya tak berujung seputar topik “jika kerentanan harus memiliki nama?”
Selama beberapa dekade, semua kelemahan keamanan utama telah diberi pengenal CVE oleh MITRE Corporation. ID ini biasanya dalam format CVE-[TAHUN]-[NOMOR], seperti CVE-2019-0708. Perusahaan dan peneliti menyadari bahwa bug yang mereka temukan memiliki lebih banyak peluang untuk lebih menonjol jika bug itu memiliki nama yang terdengar keren.
Dalam sebuah posting blog, tim CERT/CC memutuskan untuk mengedepankan solusi untuk menempatkan beberapa urutan dalam penamaan kerentanan. Jawaban mereka adalah bot Vulnonim, yang akan menetapkan nama kode dua kata dalam format kata sifat-kata sifat untuk setiap ID CVE yang baru ditetapkan.
Leigh Metcalf, anggota tim CERT/CC berpendapat bahwa manusia pada dasarnya membutuhkan istilah yang mudah diingat untuk menggambarkan bug keamanan karena “manusia tidak dikondisikan dengan baik untuk mengingat angka,” seperti yang digunakan untuk ID CVE.
“Tujuan kami adalah untuk menciptakan nama netral yang menyediakan sarana bagi orang untuk mengingat kerentanan tanpa menyiratkan betapa menakutkan (atau tidak menakutkan) kerentanan tertentu yang dimaksud,” kata Metcalf.
Berita selengkapnya dapat dibaca pada tautan di bawah ini;
Source: ZDNet
