综合 Perl 档案网络(或 CPAN)自 1995 年开始活跃,托管着由 14,548 位作者编写的 221,742 个 Perl 模块。本周,他们宣布 CPAN 安全组“被 CVE 计划授权为 CVE 编号机构 (CNA)”,为 Perl 和 CPAN 模块分配和管理 CVE 漏洞标识。 “这是个好消息!” Linux 内核维护者 Greg Kroah-Hartman 在社交媒体上发帖称,这一消息的发布“正好赶上我在几周后在加利福尼亚州纳帕举行的 Linux 基金会成员峰会上讨论这个主题,讨论所有开源项目应该如何做到这一点”。 Curl 的创建者 Daniel Stenberg 发帖称,“我同意 Greg Kroah-Hartman 的观点:所有开源项目都应该成为 CNA。或者与其他人合作来做到这一点。” (对这一建议发表“同意”的还有 Python 软件基金会驻场安全开发人员 Seth Larson,他参与了 2023 年成功成为 CNA 的努力。)根据 CNA 的官方网站,目前已有 444 个 CNA 与 CVE 计划合作。 PerlMonks.org 的公告:几年前,一些人在 Perl 工具链峰会 (PTS) 上决定,联合力量、想法和知识并成立一个小组来监控整个 Perl 生态系统(从核心到最小的 CPAN 版本)中的漏洞是一个好主意。目标是遵循立法和 CVE 报告,并帮助作者采取行动,不再脆弱。该组织在过去几年中发展稳定,现在被称为 CPANSec。该组织有几个重点领域,其中之一就是解决 CVE 漏洞问题。在这一具体目标中,一个里程碑已经实现:CPANSec 刚刚被授权为 Perl 和 CPAN 模块的 CVE 编号机构 (CNA)
在 Slashdot 上阅读这个故事的更多内容。