CVE ID语法状态更新- - - 2月5日,2013年

编辑委员会,

发送到以下更新CVE ID语法的讨论列表,为后世几个拼写错误固定在公共档案。

——史蒂夫

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

你好,

这里有一个简短的更新发生的CVE ID语法变化。

我们继续接收反馈cve-id-change@mitre地址,和我们也监控邮件列表讨论和Twitter的评论。没有明显的领先者,尽管选项C(校验数位)似乎比其他的更有争议的选择。

我们正在接受额外的语法建议我们考虑过去,但没有通过审查的CVE编辑委员会。我们计划写一个一般应对公众对最常见的建议。更多背景,注意,最后的三个选项被选择从八个不同的选项列表中,我们最初提出的CVE编辑部:

http://cve.mitre.org/data/board/archives/2012-11/msg00008.html

公众建议的替代选择,有一些主题。许多人建议我们保留CVE-YYYY-xxxx结构,而是使用十六进制数字或字母数字字符。我们已经考虑这些选项(选择5和6所列在上面的帖子)。从编辑部,然而,基于反馈和非正式审查现有的代码库中提取或管理CVE标识符,很明显,这些选项会导致太多的用户困惑和/或迫使所有CVE-processing软件彻底改变,而三个最后的选择都是“可用的”和用户友好的,因为他们只使用数字和连字符,和不会有相同的实施成本为十六进制/字母数字的方法。

原因不清楚,最初的声明没有收到任何媒体的注意,但昨天,布莱恩·克雷布斯(前《华盛顿邮报》记者)在他的博客上写了一个条目:

“缺陷洪水萧条错误银行”

http://krebsonsecurity.com/2013/02/flaw-flood-busts-bug-bank/

克雷布斯的“角”是每年越来越多的漏洞被披露,事实证明的CVE必须扩展其语法。看来克雷布斯”催生了一些额外的文章,所以我们可能会看到一个新的兴趣的语法变化,和一个更大的意识中休闲安全观察员漏洞的数量正在增加。

从最初的1月22日宣布,我们已经看到博客或其他评论用多种语言写的,包括日本、韩国、法国、葡萄牙、和其他人。这表明我们的消息到达CVE用户的全球社区。

我们也开始看到一些误解,我们将公开地址在稍后的时间。例如,一些人认为新ID语法将覆盖“999999漏洞”(引用克雷布斯),但实际上两三个选项允许无限的ID。我们只打算更改ID语法一次CVE的一生,所以我们要尽可能多的灵活性,同时平衡的可用性和减少干扰,如果可能的话。

另一个常见的误解是与大量的CVE id分配在2013年(我们在CVE - 2013 - 1617在撰写本文时)。有些人认为,这意味着超过1600漏洞已经透露,到目前为止,但这是不正确的;这个数字是虚高(因为候选人编号当局的标识符(CNAs) pre-reserve大池每年的开始,所以很多1600 +标识符是未来信息披露的“保留”。我们不能准确预测有多少今年将覆盖了CVE漏洞。

我们会告诉你我们的进展,和之前一样,请回复这个列表的任何问题或反馈。

问候,

史蒂夫和CVE团队