近日，新思科技通过了CVE考核，成为CVE编号授权机构，简化发布开源软件漏洞的流程，突显了其致力于提升软件生态系统安全性的承诺。新思科技网络安全研究中心(CyRC)成立于2019年4月，现在， 获得授权可以识别和分类新发现的软件漏洞。

此前，新思科技网络安全研究中心已发现漏洞并将漏洞添加到CVE列表中，包括CVE-2020-28052（披露在Bouncy Castle轻量级密码术包的OpenBSDBcrypt类中发现绕过身份验证的漏洞，攻击者可以避开密码检查）以及CVE-2020-27223（披露在Eclipse Foundation中广泛使用的Jetty Web服务器拒绝服务漏洞）。Eclipse Foundation是管理和运营Eclipse开源项目的基金会。

 

新思科技（Synopsys, Inc.，Nasdaq: SNPS）近日宣布其获CVE（Common Vulnerabilities & Exposures，通用漏洞披露）颁发资质，成为CVE编号授权机构(CNA)。新思科技软件质量与安全部门现在有权给新发现的漏洞分配CVE标识号，并在关联的CVE记录中发布有关该漏洞的信息。

 

自其网络安全研究中心成立以来，新思科技一直致力提升开源社区的安全性，包括利用Coverity Scan静态应用安全分析等测试工具、使用Black Duck Security Advisories向客户提供丰富的CVE数据，以及根据负责任的披露政策，向CVE和其他CVE编号授权机构提交发现的漏洞。作为CVE编号授权的新机构，新思科技简化流程，向公众发布准确、实时的漏洞信息。

 

新思科技软件质量与安全部门的总经理Jason Schmitt表示： “我们非常高兴在提升软件安全方面又迈进一步，在这个广泛的软件生态系统参与漏洞信息管理。我们致力于软件应用安全，漏洞研究是嵌入我们基因的一部分。作为CVE编号授权机构，新思科技可以更高效地向客户和整个软件社区发布我们的研究成果，无论是发现新漏洞，还是现有的、可能不够准确或完整的CVE记录。”

 

CVE®是一个基于社区的国际性项目，旨在对已公开披露的网络安全漏洞进行识别、定义和分类。CVE标识号由CVE编号授权构分配，基于参与企业自愿的情况下进行操作。 新思科技作为CVE编号授权机构与多个授权商业实体合作，例如Linux、红帽、谷歌和微软。

 

新思科技软件质量与安全部门研究工程总监Christopher Fearon表示： “能够识别和获取准确且实时的漏洞信息对于保护软件供应链至关重要。随着我们扩展在新思科技网络安全研究中心的漏洞研发工作，成为CVE编号授权机构能够直接披露漏洞，可以提升我们研究的透明性和速度，从而增强研究实力。”