回复：CVE编号

亚当，尽管这很好，但我不明白为什么要使CVE指数编号大致按时间顺序排列。缺点将如下： - “保留”反复或中间填充数字的任意块。- 如果将来某些信息源出土，很难插入CVE索引。- 关于发现的相对时间几乎没有值，就像一个知识基础报告的发现日期与另一个网站不同的示例中。- 可能需要在将来的日期进行重新索引，从而需要版本控制并违反索引号的完整性（CVE-1可能并不总是是CVE-1）。- 可能会延迟进入信息的信息，对发现日期的权威确定。取而代之的是，我们应该只是指出CVE指数不能保证是按时间顺序排列的，并且可能使用另一个字段（例如报告的日期）来指示何时发生。在最好的情况下，报告的日期可以将其推向供应商/知识源级别，以便在每个供应商报告相同问题时都可以知道。但是，我不认为这甚至在CVE的范围内。另一个意见，Andre Andre Frech afrech@iss.net Internet Security Systems，Inc。678.443.6241 / FAX 678.443.6479 www.iss.iss.net企业> ----- > From: Adam Shostack [mailto：adam@netect.com]>发送：1999年5月4日，星期二3：33 pm>至：steven M. Christey> CC：cve-review@linus.mitre.org>主题：CVE编号>>> >>史蒂夫，>>>>让我开始说。非常感谢您和Miter为实现这一目标所做的所有努力。我期待>您打开的通信路径使漏洞>管理实践对每个人都有更有效的效果。>>当我开始查看数据时，跳出来的一件事是，您似乎已经从CVE-1开始，这意味着我们>失去了大致按时间顺序排列和回填的能力。在我们在陶瓷研讨会上的讨论中，我们建议从> 10,000开始，以便我们可以将1个作为“疫苗管中的飞蛾”>> ADAM>