编辑委员会电话会议摘要 - 2012年10月31日

[：“克里斯蒂，史蒂文·M。”<coley@mitre.org>]

Editorial Board Teleconference - October 31, 2012

===========================================

与会者

---------

编辑委员会：

- 肯特·兰德菲尔德（Kent Landfield），麦卡菲（McAfee）

-TK Keanini，ncircle

- Brian Martin, OSVDB

-Art Manion，CERT/CC

- 加利福尼亚州肯·威廉姆斯（Ken Williams）

-Adam Shostack，Microsoft

- Harold Booth, NIST

- 安迪·巴林斯基（Andy Balinsky），思科

非板：

-Dave Waltermire（NIST）

-Kurt Seifried，Red Hat（代表董事会成员Mark Cox）

MITER：

- David Mann

- 史蒂夫·克里斯蒂（Steve Christey）

- 鲍勃·马丁（Bob Martin）

- 乔纳森·埃文斯（Jonathan Evans）

CVE范围

---------

大卫·曼恩（David Mann

and products, as covered in more detail in mailing list discussions.

大卫要求在来源和产品列表上提供最终反馈。

没有人有其他反馈。

哈罗德·布斯（Harold Booth）询问该清单是否会保持静态，以及是否

董事会成员将有机会提供其他

潜在来源的建议。MITER打算审查和修改

定期列表。也许每年一次 - 但是董事会成员可以

还提供输入，这将确保反馈循环以确保

对MITER和董事会之间的此列表进行一致的审查。

ITSAC全球漏洞报告（GVR）回顾

---------------------------------------------------------------------

戴维·曼（David Mann）介绍了最近的GVR活动，包括

the ITSAC conference as held earlier in October. ITSAC topics

包括滥交或全局ID语法的概念，需要

changes to CVE ID syntax to support more than 10,000 IDs in a year,

MiTre.s的意图是在不领导它的情况下帮助GVR讨论。肯特

兰德菲尔德（Landfield）表示，ITSAC面板是一个很好的起点，一个

useful lead-in to the upcoming meeting in Kyoto.

CVE ID语法更改

----------------------------------

史蒂夫·克里斯蒂（Steve Christey）涵盖了当前CVE ID计划的潜在变化，

每年仅支持10,000个唯一标识符（.cve-10k

问题。）。随着Miter的内容生产团队的发展，

various process improvements taking place, it is possible that in late

2013年，CVE在那年可能超过10,000个标识符。

有一个工作的假设，即对当前的任何修改

计划将迫使CVE消费者和提供商的变化。然而，

社区能够处理“ can-”前缀更改而没有太多

问题。

Multiple criteria for a "good" syntax were outlined, including a large

ID space, good usability and ease of adoption by consumers, low

提供者的维护/采用费用，立即与延迟

任何计划改变的影响。例如，有些方案没有

any apparent changes until 10,000 identifiers are produced in a single

一年，这可能会给提供者提供一些额外的时间调整。

提供了几种ID语法选项。详细信息将发布

到邮件列表以进行所有编辑委员会的完整讨论

members, but they are summarized below:

1) Year plus arbitrary digits, no leading 0.s (examples:

CVE-2013-1234, CVE-2013-12345; CVE-2013-0056 would be preserved)

2）一年加上额外的数字，领先0.S（例如CVE-2013-01234或

CVE-2013-012345）

3）年少4：非标准年，加4位数字（例如CVE-1013-NNN，

CVE-3013-nnnn)

4）年plus-4：年加4个十六进制数字（CVE-2013-A9E4）

5）年少4：年加4个字母数字（CVE-2013-ZW1K）

6) Year plus arbitrary digits plus check bit, aka CCE style

(CVE-2013-12345-6)

7）CERT-VU/JVN样式（CVE＃12345678）

While there was insufficient time to discuss the subtleties and

每个方案的影响，这里有一些主题：

1）需要对较旧ID的向后兼容性。即，对于CVE

在ID更改之前发布，它们不一定应该是

renumbered. This would preserve usability of IDs in older academic

论文，咨询文件，邮件列表和网站档案等。

2）一些参与者支持制定新ID计划

看起来与旧方案尽可能相似。这将最小化

采用成本并减少消费者的困惑。

3) Kent Landfield talked about adding additional digits to the end.

他认为这将是编码最小的影响力

几乎任何人的观点。这不会改变分类，

显示，使用或检索ID-主要是相同格式。为了

一些较新或更激进的语法，这将改变CVE的方式

数字最初是分析的，这将对该数字产生更大的影响

社区，对于用户而言，它的直观不太直观。它会

introduce new issues they have to deal with (e.g. bad year encoding).

它会lose the ability to discern identifiers from a human

perspective. The "New School" items (i.e., CCE-style, CERT-VU-style)

would require more effort for adoption.

4）Art Manion解释说，Cert-Vu结构提供了不同

目的;他们不希望ID是顺序或反映

ID已分配。有潜在的数学公式，但是

they helped CERT/CC to ensure that a unique ID could be generated.

艺术认为这些要求与CVE无关。

5）哈罗德·布斯（Harold Booth）询问其他董事会成员的要求

ID是。没有足够的时间与所有人一起探索

但是，参与者。

6) TK Keanini suggested that the proposed schemes did not have an

重要财产。他建议“ CVE 2.0” ID语法应该是

able to make it very obvious to consumers that the ID is not a "CVE

1.0" style ID. To support backward compatibility, a CVE-2.0

identifier could add a suffix to the end of a CVE-1.0 style

identifier. As long as the new format for CVE-2.0 identifiers is

"outside the boundaries" of a CVE-1.0 identifier, then all CVE-1.0

标识符将是向后兼容的。

7）亚当·肖斯塔克（Adam Shostack）同意不应是老式格式

破碎的。（在电信之后，戴维·曼（David Mann）告诉CVE团队ISBN

数字从10个字符扩展到13个字符以增加空间

of potential identifiers while preserving backward compatibility, and

it was easy to distinguish between identifier versions based solely on

他们的长度。）

CVE ID过渡计划

------------------------------

假设 - 许多消费者/提供者将需要6个月或更长时间才能

完全采用新的语法。MITER可以支持新旧ID

从2013年1月开始，可能只转到

但是，2014年1月。但是，对双计划的同时支持

仍然对CVE提供商产生影响，因为一些消费者会

发布后，开始使用（或搜索）新ID。

Andy Balinsky asked if the idea for the new ID scheme was to have it

到2013年，最终确定并上行。从肯特的角度来看

产品可能需要8或9个月才能采用和获得支持。

Also need a PR effort to get the community to understand that CVE 2.0

是需要一些准备的新事物。

库尔特（Kurt seif）提倡使用六位数的方法与领先0

characters, and thought that an alphanumeric scheme would not work

well.

首次GVR峰会讨论

---------------------------------------

David Mann told the Board about the upcoming Forum of Incident

回应和安全团队（第一）在京都

日本，从11月13日至15日。这座座谈会将以“未来”为特色

全球漏洞报告峰会，“由JP-Cert主持和

日本IPA。

详细的描述和评论请求将发布到

邮件列表。

Miter将参加此峰会，但我们想从

在此之前，编辑委员会成员希望代表

峰会上的编辑委员会共识。MITER CVE团队相信

首先是进行GVR讨论的适当场所，也是

emphasized that MITRE CVE itself needs to continue to focus on

在其定义的范围上达成共识 - 即关注

English-based software market, using a list of full and partial

覆盖范围和产品，基于社论的输入

木板。Miter认识Masato Terada和JP-Cert/IPA的努力

已经支持CVE，例如提供英文翻译

仅用于日本产品脆弱性并倡导全球

dialogue about vulnerability identifiers.

Note that disclosure practices appear to differ by region. For

例如，日本的披露在很大程度上是协调的，没有

等效于Bugtraq和全披露运动。和

regulatory and cultural differences, disclosure practices may evolve

differently.

我们已经确定了解决GVR问题的3个主要选项

未来几个月。其他细节，以及优势和

每个选项的限制，将分别发布到邮件

列表。

选项1-“全球CVE” - 从当前关系中借用

在CVE和JP-CERT之间，与其他证书建立关系或

ID-issuing organizations in foreign markets, then train them as

候选人编号当局（CNAS）。

选项2-“创建新的ID语法” - 扩展当前GVR

discussions for "promiscuous" IDs to create a new ID syntax that could

在全球范围内使用。

Option 3 - "Wait, Let Markets Mature, and Reassess" - Let disclosure

实践和协调在不同的市场中继续发展；

postpone definition of a new ID scheme until there is more maturity

and clarity.

**董事会讨论**

Harold Booth - doesn't think options 1 or 2 are feasible; is working

在IETF中以一种以交换漏洞信息的格式

与CVRF相似，但也包含交叉引用的支持

不同的ID方案。他将向编辑委员会发布指针

邮件列表。

肯特 - 京都会议旨在开始讨论，使用

3-day meeting to discuss the issues in depth, get perspectives beyond

美国，开始对话。

Art Manion - agrees that MITRE/CVE scope cannot be global. FIRST is a

尝试开始的好地方 - 一些非美国的意见会很好。

自2012年ITSAC会议以来，前进的道路可能允许市场

发展。问哈罗德·布斯（Harold Booth） - 是否有相关格式

vulnerabilities and share information?

哈罗德将把他的想法（IETF曲目）转发到编辑委员会

邮件列表。它的概念与CVRF相似，但包含一个

单独的部分进行混叠，这将支持全球ID方案。

哈罗德（Harold）认为，选项1和选项2都不是可行的

时间。Dave Waltermire提出了这一结果的一部分

努力可能是支持不同的漏洞交换格式。

安迪·巴林斯基（Andy Balinsky）问新CVE ID之间是否有协同作用

scheme and what could happen in GVR? Ideally, CVE could follow the

GVR采用的相同计划。史蒂夫·克里斯蒂（Steve Christey）说

时间不对。CVE-10K很快就会发生（也许在2013年），并且

全球ID计划可能需要数年的发展。所以，时机是

not ideal. Also, the current issues with CVE IDs can be distractions

in the larger GVR discussions, so addressing the CVE ID problems now

会有所帮助。

电信会以评论结束，这意味着延迟

最近，在编辑委员会的会议之间过长。Miter Will

考虑到这一点。