回复：计算CVE

同意肯特所说的一切。

我想看到的一个重要的更改是在cve.mitre.org的每个cve页面上添加了“评论”功能。评论功能可以由编辑董事会成员（和其他经过审查的个人？）来添加校正，其他参考，供应商响应等信息。

感谢致敬，
肯·威廉姆斯（Ken Williams），导演

C一种技术产品脆弱性响应团队
C一种技术业务部门运营

wilja22@ca.com-816-914-4225

从：所有者 - cve-editorial-board-list@lists.mitre.org [mailto：lands-cve-editorial-board-list@lists.mitre.org]代表kent_landfield@mcafee.com
发送：2012年3月7日，星期三，下午1:53
到：cve-editorial-board-list@lists.mitre.org
主题：计算CVE

全部，

我们在CVE报告中遇到了问题，这些问题是已知问题，但对于更多问题而言，它们变得更加明显，如果不被选中，可能会很容易破坏CVE识别的有用性。

我们在一个月后的软件保证活动中的脆弱性报告研讨会的未来ITAC会议上以及在未来的脆弱性报告当天进行了讨论。（我不知道后者的动作项目已经完成……）

我只是对CVE的有用性作为衡量当今脆弱性的一种手段以及其价值的衰落，如果趋势继续下去。讨论围绕与整个社区报告的CVE数量的准确性相关。如果我们仅查看CVE数字，则似乎自2008年高高以来的漏洞数量一直在下降。这是一个相当重要的错误。众所周知，这是不准确的。漏洞并没有下降，它们正在增长，没有下降30％。

对于供应商社区而言，这些趋势对我们的潜在影响相当。首先，我们的脆弱性研究数据库将CVE用作主要参考。CVE ID过去一直是权威的。它在内部用作在现场产品之间以及研究分析团队之间传达漏洞记录信息的一种手段。随着数字下降，这意味着我们被迫在其他地方提供CVE过去提供的识别和通信。越来越多的专有ID变得越来越常态。

更严重的担心是它向公司的高管展示了什么。

“如果自2008年以来的漏洞下降了30％，为什么我需要为安全人员和努力提供资金？说威胁要严重得多，我们可能处于几年恶意软件峰值时处于相同的相对状况……”

对于那些在这种环境中积极工作的人，我们知道自2008年以来的漏洞并没有下降30％。相反，我们的内部数字表明趋势的增加类似于30％的上升。Symantec也报道了类似的趋势。

主要问题之一是，斜切资金不是应有的。在多种情况下，我们被要求针对漏洞被认为是最关键和应监控哪些来源的产品类别的目标。随着资金的水平或降低，目标和监视器的视图变得越来越小。

在某一时刻，努力的目的是涵盖所有可以以某种方式证实的已发表漏洞。多年来，现实已经确定了这是一项非常密集的运营。因此，这项工作的重点减少了报告以确保CVE可以为编辑董事会参与者及其赞助商最重要的产品类型分配。这使人们对现有漏洞的数量进行了人为的看法，并且在漏洞社区之外得到了认可。

另一个问题是CVE格式本身。关于格式限制也有积极的讨论。CVE格式是CVE-YYYY-NNNN。这意味着目前，我们在一年内不能有10,000多个CVE。按照我们内部看到的速度，我们已经在那里了。

然后，CVE过程通常存在局限性。重点仅是英语，尽管某些非美国漏洞确实会不时被分配。CVE不支持为非英语地理区域编写的国际社会和软件。尽管这并不是我们仅使用的软件供应商的关注点，但是为主要新兴市场编写了大量的区域软件。这些漏洞都没有由CVE确定。

考虑到这些限制，似乎是时候弄清楚如何以一种更具创造性的方式解决问题了。我们知道约束。我们可以做些什么来扩大某些领域的斜切员工吗？我可以看到格式问题是一个很容易攻击的问题，但最令人担忧的是覆盖范围问题。否则我们应该忽略它，并慢慢让CVE对社区和供应商的价值衰落……

想法？

肯特·兰德菲尔德
董事内容策略，体系结构和标准

McAfee |一家英特尔公司
5000总部博士
德克萨斯州普莱诺75024

直接：+1.972.963.7096
手机：+1.817.637.8026
网络：www.mcafee.com