CVE博客

您对更新CVE ID说明有何看法？

Comment on LinkedIn|分享这个帖子

上个月，我们询问了CVE社区您如何使用CVE ID说明。本月，我们正在关注这个问题，询问CVE ID的另一个方面描述并使用了它们的内容。

具体来说，我们想听听您的想法更新CVE ID描述当有关漏洞的新细节可用时。

发布CVE ID时，漏洞的描述包括当时可用的有关漏洞的详细信息。但是随着时间的流逝，可能会发现更多信息有关描述中应反映的漏洞。

例如，在供应商发布新信息后，可能需要更新受漏洞影响的产品或版本。此外，CVE ID可能会从覆盖单个产品转变为影响许多产品的库或协议。

更新或不更新

When such changes happen, CVE could update existing CVE ID Descriptions with that new information. But is doing so a problem for CVE consumers?

例如，在12月，有人可能会看到一个新的CVE ID，描述了ProductX版本1.2中的漏洞。他们使用1.3版，因此可以忽略漏洞。但是随后的2月，ProductX的供应商发现该漏洞确实会影响1.3版，CVE更新CVE ID描述以包括该细节。在这一点上，消费者可能不会注意到这一变化，或者他们发现自己突然容易受到他们认为并不脆弱的脆弱性。

另外，CVE可以分配一个新的CVE ID，其中同时包括1.2版和1.3版，并拒绝原始CVE ID。新CVE ID的范围和受影响的产品将是明确的，而新的CVE ID将被组织可能遵循的通常的脆弱性管理流程所吸引。这种方法的缺点是关于原始CVE ID状态的混乱，该状态仍然有效但尚未完整。

CVE通常看到的一种情况如下：供应商希望在知道固定的补丁版本之前发出咨询。它们可能包括当前已知的受影响版本，但这可能会错误地意味着以后的版本不受影响。另外，他们首先可以忽略提及任何版本的信息，并在知道完整范围是什么时更新说明。

你怎么认为？

CVE是否应随着新信息的可用而更新CVE ID说明，还是我们应该拒绝和重新创建CVE ID？您还有另一种练习，您会发现更多有用吗？

Please contact us through theCVE请求网络表格通过从下拉菜单中选择“其他”，并考虑到本月底之前更新CVE ID说明的想法。

所有反馈将在一月左右的第一周左右收集，汇总并发布在此页面上。另外，如果您不希望您的反馈包含在公开发布的结果中，请在您的消息中告诉我们。

我们期待您的回音！