再保险(CD): CD建议:SF-LOC(软件缺陷在不同o f代码)

比尔Fithen < wlf@CERT。ORG >写道:>真正基本的我看来,脆弱的本质是>独立的机制(s),可用于改正它。>可能是有很多方法来正确的一个漏洞。事实上,很明显我>,这种修正的“列表”的对策是一个>完全独立承担与CVE(也许CCE ?)。这引出了一个问题,如果我们要分析的本质脆弱性CVE条目,我们还没有走得太远的CVE的既定目标?(剪…)>其他条件不确定关于分裂/合并>问题,如果我们到达这个规则和供应商拒绝回答>分割/合并的问题,然后在我看来唯一保守>方法是分裂。如果我们不正确地分割,唯一的后果就是>信息冗余。如果我们不正确的合并,结果>信息损失。一旦我们将基于信息的缺乏,>(可能是冗余的)条目标记为“这是我们都知道的和>离开,直到我们知道更多。如果在将来的某个时候(甚至>可能进入CVE)后,如果有人足够学习>“证明”我们,他们应该被合并,然后将它们合并。 I agree with this. Moreover, why not split by default, merge when 'someone learns enough to "prove" to us they should have been merged', and save the headache? Pascal "You cannot build a happy private life in a corrupt society anymore than you can build a house in a muddy ditch." Anonymous Czech woman, from the 2000 Commencement Address by Bill Moyers about the american political system