再保险:CVE ID语法变化和选择

CVE ID 10 k的问题反馈

7 nCircle愿推动选项。

(特别感谢我的工程师伊恩·特纳和鲍勃·托马斯的反馈和评论。)

我不认为这是可能以任何方式修改格式,不打断别人的实现。“CVE - \ d {4} \ d{4}”可能匹配,但“^ CVE - \ d {4} \ d{4} $”不可能——或者“/ CVE - (? P <一> \ d {4})——(? P < id > \ d{4}) /美元”,等等。

总的来说,我认为选项1或选项7最好的。我想他们这么匹配与注意事项:

- - - - - - 都有一个大空间ID

- - - - - - 都是容易表现为cf

- - - - - - 选项1可能比选项7选项更容易采用7有一个额外的字段和验证方面。

- - - - - - 选项1可能是简单的采用的更新软件。选项1很可能已经在使用许多现有的正则表达式匹配定位cf。选择7可以通过正则表达式匹配但验证需要单独发生。

- - - - - - 选项1延迟影响超过选项7

- - - - - - 选择7是立刻认识到新的语法。然而,选项1也可以很容易地认为新语法曾经很重要,语法是不同的。

- - - - - - 只要数字并不局限的数量似乎都不会过时的。

下面的选项7看起来最好的给我。我最希望实现忽视校验位,但很高兴,很容易识别新格式。它可以提高填充少于4位数为0年代,像建议选项1(兼容性)。类似的选项1我担心的是,没有人会注意到,有一个新的标准在cve - 2013 - 10000发布之前,和一堆实现突然打破。

选择5和6可能是最糟糕的选项。他们会打破现有的实现在一个糟糕的方式(任何试图解析int)。

选择8完全失去了一年,我想很多人会问题。此外,大多数现有的实现。

更多的细节:

选项1:年+任意数字,没有领先的0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 1234 - 2013 - 12345(如果4位数或更少,导致

0将被使用,例如cve - 2013 - 0056,而不是cve - 2013 - 56)

nCircle反馈:我认为这是当前ID的逻辑扩展格式。我似乎是显而易见的cve - 2013 - 10000将成为下一个ID后发表cve - 2013 - 9999。因为ID的字段是连字符分隔的空间是无限的。唯一的缺点似乎是标准的字母数字排序不10000 9999年之后,但这是在软件工程中多次出现的一个问题,我认为这是一个基本解决问题。我不认为这个格式应该拒绝仅仅因为懒惰的程序员。

选项2:年+ 5位数,0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 01234 - 2013 - 56789

nCircle反馈:我不喜欢指定ID数字因为它的最大数量的限制,仅仅因为1000000似乎是一个巨大的数字识别漏洞现在并不意味着它在未来仍将是一个巨大的数字。我也不关心前导零,这两个选项要求。

选项3:年+ 6位数,0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 012345 - 2013 - 678901

nCircle反馈:选项2和3不显得非常有用。他们将立即打破一些现有的实现,把另一个任意限制。

选项4:非标准年+ 4位数

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 1013 - 1234 - 3013 - 1234(而不是使用电流

年,前一年1999年或3000年之后可以用10000次

达到在一年内)

nCircle反馈:我发现今年的ID是非常有用,因为今年计划打乱一旦达到10000错误我不在乎。这也打破了标准的字母数字排序,因为cve - 3013 - 0001后最终将cve - 2014 - 0001。排序可以是固定的但这是一个不标准的排序问题比选项1。

选项4将打破排序,只是非常混乱。“年”部分有效地变得无用。

选择5:+ 4十六进制数字

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve - 2013 a9e4

nCircle反馈:我认为这是一个好的选择,但只要格式会改变我不认为数字的数量应该是有限的。自从上次部分仍然是一个数值更容易比选择6。

选择6:+ 4字母数字

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve - 2013 zw1k

nCircle反馈:

我不关心这个选项,因为它远离数值在常用的基地。我想值可以被视为基地36但我宁愿去选择5选择6,特别是数字的位数不限于4。

选择7:CCE-Style(年+ +校验位任意数字)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve - 2013 - 12345 - 6(“6”是一个校验位,后

Luhn校验数位算法)

nCircle反馈:我认为这是最好的选择。我喜欢这个新的格式可以立即认出,因为它包含三个破折号而不是两个。选项1,排序需要处理,确保相邻cf出现相邻列表,但就像我之前说的,不应该成为一个问题。

选择8:CERT-VU / JVN风格

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:CVE # 12345678

nCircle反馈:我认为这种格式是不可接受的,因为这一年是省略。就像我之前所说,我觉得今年的ID是非常有用的。

- - -

研究总监蒂姆“TK Keanini…nCircle Inc .…mbl (415) 328 - 2722…

博客:patterns.ncircle.com Twitter: @tkeanini

来自:owner-cve-editorial-board-list@LISTS.MITRE。ORG (mailto: owner-cve-editorial-board-list@LISTS.MITRE.ORG)代表Christey,史蒂文。
发送:周一,2012年11月5日48点
:cve-editorial-board-list
主题:CVE ID语法变化和选择

所有人,

是在10月31日,编辑部电话会议讨论

是时候更新CVE ID语法这样CVE可以支持多吗

10000年一年标识符(“CVE-10K问题”)。

一些讨论召开编委会名单早在2007年,但是

没有官方的决定是达到或实现(请参阅

http://cve.mitre.org/data/board/archives/2007-01/threads.html)。

然而,现在,是时候解决这个问题。它有时会导致

分心在更大的全球脆弱性报告(GVR)

斜方讨论,可能产生超过

10000年标识符在2013年因额外的员工和最近的

过程/基础设施的改善。

这需要许多消费者完全采取任何新的6个月或更多

语法,所以需要足够的警告,我们需要时间来培养

一个过渡计划的新语法。我们将敲定细节

以后。

下面是几个语法选择ID。请回复列表

与你的意见:

*建议不同的语法吗?

*消费者语法最好?

*这语法会容易采取的/最便宜?

我们没有举行任何正式投票。

考虑一个好的语法

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

新CVE ID的语法是“好”,它应该大部分(或者全部)

以下属性:

1)大型ID空间,即。,大量的潜在的id

分配。

2)可用性消费者,如认识到的能力

ID是CVE编号,并减少混乱。

3)易于采用消费者。

4)采用低维护/成本对于消费者和提供者。

例如,一些ID方案可以减少内存/磁盘开销,或

它可以很容易扩展正则表达式,目前

用于检测或管理CVD id。

5)延迟影响语法的变化——因为任何改变

许多意想不到的对下游的影响消费者,我们想给

人们尽可能多的时间来调整到新的语法。所以,

它可能是有利的使用语法,似乎并未改变

直到10000年标识符是必要的。

6)语法版本识别——如果可能的话,它应该是清楚的

消费者或一个自动化的系统版本是语法

用于一个ID -旧的语法,或新的语法。例如,

ISBN编号最初10位数长,然后扩大到13

位数的长度,所以ISBN澄清哪个版本被

使用。

7)能否经得住时间的考验,如果可能的话,ID方案可以灵活

到未来的需求不要强迫额外的变化。

选项1:年+任意数字,没有领先的0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 1234 - 2013 - 12345(如果4位数或更少,导致

0将被使用,例如cve - 2013 - 0056,而不是cve - 2013 - 56)

影响:推迟到斜方产生10 k id

id: 1000000 /年(假设6位数)

注:字母排序列表cve - 2013 - 9999

cve - 2013——10000相邻。

选项2:年+ 5位数,0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 01234 - 2013 - 56789

影响:直接采用(许多现有解析器可能

误解“cve - 2013 - 01234”“cve - 2013 - 0123”假设只有4

数字)。

id:每年100000

注:这对一些用户来说,可能没有广泛影响

例如一些自由派正则表达式如(CVE - \ d + - \ d +)是可行的

对新旧语法。

选项3:年+ 6位数,0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 2013 - 012345 - 2013 - 678901

影响:直接采用(许多现有解析器可能

误解“cve - 2013 - 012345”“cve - 2013 - 0123”假设只有4

数字)。

id:每年1000000

注:这对一些用户可能没有广泛的影响。为

例子中,一些自由派正则表达式如(CVE - \ d + - \ d +)

适用于新旧语法。

选项4:非标准年+ 4位数

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例子:cve cve - 1013 - 1234 - 3013 - 1234(而不是使用电流

年,前一年1999年或3000年之后可以用10000次

达到在一年内)

影响:延迟

id: 100000000

注:可能造成用户困惑(奇怪的id

认为是拼写错误),但可能会降低应用成本(许多

当前正则表达式仍然工作,ID长度一样

原来的语法)。

选择5:+ 4十六进制数字

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例如:cve - 2013 a9e4

影响:延迟

id:每年65535

注:可能造成用户困惑(奇怪的id

认为是拼写错误),但可能会采用成本(长度减少

相同的),尽管它将打破假设的正则表达式

只有数字。

选择6:+ 4字母数字

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例如:cve - 2013 zw1k

影响:延迟

id:每年170万

注:可能造成用户困惑(奇怪的id

认为是拼写错误),但可能会采用成本(长度减少

相同的),尽管它将打破假设的正则表达式

只有数字。

选择7:CCE-Style(年+ +校验位任意数字)

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例如:cve - 2013 - 12345 - 6(“6”是一个校验位,后

Luhn校验数位算法)

影响:立即

id:有效地无限

注:校验数位提供了一种简单的方法来自动发现

拼写错误在IDs中,发生在每年(CVE多次

例子,有时供应商发布报告CVE的拼写错误

id)。数字的位数,校验位之间

有效地无限,因为边界是由连字符。

可能有用户混淆,人们可能会遗漏检查

数字完全。

选择8:CERT-VU / JVN风格

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

例如:CVE # 12345678

影响:立即

id: 100000000

注:这个ID不编码,很多消费者喜欢,

因为它是当问题成为公众的一个近似。