再保险(CD): CD建议:SF-LOC(软件缺陷在不同的行代码)

在星期二,2000年6月13日,史蒂芬·m·Christey写道:> * 4)如果P1和P2不固定同样的补丁或补丁,>然后他们必须保持分裂。我认为这个规则是不合适的CVE的目的。之前当我意识到规则1 - 3通常适用这条规则,这条规则是,在我看来,完全orthagonal别人,是进一步的一个贫穷的指南任何决定关于CVE的内容。供应商的方式构造补丁不相关缺陷的性质。此外,一些厂商甚至不需要“补丁”的概念(例如,Red Hat Linux和IBM AIX(大部分)没有“补丁”;它只有包的新版本)。我们有很多经验,供应商问题的补丁,然后随后改变他们的想法和合并或分裂补丁。或者他们将许多修正成一个“补丁”(考虑微软SP吗?——一个补丁或补丁集合吗?)。供应商包装软件根据其业务规则,不是根据软件的技术内容;在某些情况下,它可能不会出现这样,但从长远来看,这一定是对供应商保持经济上可行的。 All of the preceding rules (1-3) and most of the ones following this one are focused on the nature of the vulnerability and the related software engineering practice that produced it. This rule is not. I think this rule is incorrect and should not be used. Bill Fithen