再保险:CVE ID对语法选择完成——公众反馈开始

来:<coley@mitre.org>、<cve-editorial-board-list@LISTS.MITRE.ORG>
主题再保险:CVE ID对语法选择完成——公众反馈开始
从:<Kent_Landfield@McAfee.com>
日期:结婚,2013年2月13日16:31:51 + 0000
接收语言:en - us
交货日期:2013年2月13日11:36:18结婚
在回复:< Pine.GSO.4.64.1301181216010.8999@faron.mitre.org >
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-Owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-Subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-Unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@LISTS.MITRE.ORG>
Thread-Index:AQHN9aGlgtGPoYet4EeBBwc2tMcuZph4Ez8A
Thread-Topic:CVE ID对语法选择完成——公众反馈开始
用户代理:Microsoft-MacOutlook / 14.3.1.130117

所有人,

RSA是迅速接近和安排会议是一成不变的。我们做了一个决定,当CVE编辑委员会将举行讨论会议,CVE格式?我想确保我有时间可以参加。希望看到你们那里!

谢谢。

肯特Landfield

McAfee |一个英特尔公司
直接:+ 1.972.963.7096
手机:+ 1.817.637.8026
网络:www.mcafee.com

来自:“Steven m . Christey " <coley@mitre.org>
答复:”coley@mitre.org" <coley@mitre.org>
日期:星期五,2013年1月18日,十一28
:”cve-editorial-board-list@lists.mitre.org" <cve-editorial-board-list@lists.mitre.org>
主题:CVE ID对语法选择完成——公众反馈开始

所有人,

1月15日,周二横切CVE对团队成员进行选择

三个不同的选项CVE ID语法变化。

这些选项都包含在我下面的文档,以及

优点和局限性。我们将征求市民意见

从这个文档开始。

我们将文件转发给董事会作为一个提醒。下周二,

1月22日,我们将发布一些相关邮件列表

发送个人更新。我们计划有一些公开讨论

和董事会会议在RSA,紧随其后的是一个正式的董事会投票——更多的细节

跟随。

谢谢你的输入和见解!这将是一个有趣的

两个月:-)

问候,

史蒂夫和其余的CVE的团队

= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =

CVE ID语法变化——呼吁公众反馈

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

由于公共漏洞报告,增加体积

常见的漏洞和风险敞口(CVE)项目将改变

语法的标准以便CVE漏洞标识符

一年10000多的漏洞。当前的

语法、CVE-YYYY-NNNN只有最多支持9999个不同的

每年的标识符。

因为ID语法的变化将影响许多政党包括结束

用户和供应商,CVE项目征求反馈

公众之前这种变化。

公众的反馈周期将持续到RSA会议上

2013年2月,与会者将能够与CVE说话

人员从斜方和CVE编辑委员会的成员。后

正式编辑委员会投票,最终选择将和

公众将会通知,可能在2013年3月。

语法变化定于1月1日生效,2014年,

这样人们将会有足够的时间来改变他们的流程和

软件来处理新的ID语法。

CVE编辑委员会的领导下,我们已经确定了三个

选择一个新的ID语法,详细如下。如果你想发表评论

在任何这些选项,请发送电子邮件cve-id-change@mitre.org。

由于大量的我们希望收到回复,我们将

不能回复每一封电子邮件消息;然而,我们将

发表的摘要响应。

这三个选项是:

*)选项(+ 6位数,主要是0)

例子:cve - 2014 - 000001, cve cve - 2014 - 009999 - 2014 - 123456

*)选项B(年+任意数字,没有领导除了id 0 1到999)

例子:cve - 2014 - 0001, cve cve - 2014 - 54321 - 2014 - 123456

*)选项C(+任意数字+校验位)

例子:cve - 2014 - 1 - 8, cve - 2014 - 9999 - 3, cve - 2014 - 123456 - 5

关于这些选项的更多细节可以在今年年底

消息。

谢谢您为支持CVE整个社区,我们看看

期待你的反馈。

问候,

CVE项目

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

选项:一年+ 6位数,与领先的0

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

实例标识符:

cve cve - 2014 - 000001 - 2014 - 000999, cve - 2014 - 001234, cve - 2014 - 009999,

cve cve - 2014 - 010000 - 2014 - 054321, cve - 2014 - 099999,

cve cve - 2014 - 100000 - 2014 - 123456, cve - 2014 - 999999

优点:

这个CVE ID语法消费者会觉得熟悉

老式语法从1999年到2013年,因为有6

数字而不是4。这可能会使采用更为简单和最小化

混乱。

语法会避免一些标识解析可能发生的问题

与其他计划,如无意截断或

固定长度的假设会导致错误的ID

提取。它还支持多个连续的使用

id,可以很容易地进行排序并显示没有特殊的逻辑。

固定长度的一些消费者或可能是一个可取的属性

CVE-processing实现者;其他选项都变长

id。

一些CVE-processing软件自动提取或

发布CVE标识符可能不需要改变,如果它

已经假定可以使用超过4位数。

会有足够的IDs支持多达100万个漏洞

每年。这对于CVE实际上是不会过时的,因为CVE的

范围预计将在很大程度上仍局限于漏洞

已经分析了人类。如果超过100万的id

必需的,这将是一个大的范式转变

漏洞的披露和跟踪,整个行业

无法管理卷使用今天的实践。

限制:

首次发表后立即一个ID使用这种语法,

许多CVE程序假定老式语法将停止

正确地运作。

大量的数字可能会增加错误的风险,

尤其是在领先的0。一些消费者可能

故意删除前导零,假定老式的四位

号码。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

选项B:年+任意数字,没有领导除了id 0 1到999

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

注意:在这个选项,至少不会被添加到额外的位数

10000 id是必要的。必要时,只有一个额外的数字

补充道。对于id 1到999年,0将用于扩大领先

使用4位数。

实例标识符:

cve cve - 2014 - 0001 - 2014 - 0999, cve - 2014 - 1234, cve - 2014 - 9999,

cve cve - 2014 - 10000 - 2014 - 54321, cve - 2014 - 99999,

cve cve - 2014 - 100000 - 2014 - 123456, cve cve - 2014 - 999999 - 2014 - 1234567

优点:

这个CVE ID语法消费者会觉得熟悉

从1999年到2013年的老式语法;数字部分

只会包含额外的数字。这可能会使采用更为简单

减少混乱。

最初的5位数会支持更改为100000

在一年的标识符;6位数将支持100万

每年的标识符。

一些CVE-processing软件自动提取或

发布CVE标识符可能不需要改变,如果它

已经假定可以使用超过4位数。

ID语法直到10000年才会有一个明显的改变

标识符是必要的,这可能给CVE用户额外的时间

适应一个语法的变化。(注意,CVE可能不需要10000年

今年标识符)。

限制:

ID并没有一个固定的长度,和ID解析错误

有可能。一些CVE项目会错误地截断了错误的id

因为4位数的假设,这将导致混乱

和不正确的映射。例如,cve - 2014 - 123456

截断cve - 2014 - 1234,这将完全确定一个

不同的脆弱性。

这个语法是“永不过时”比别人少。如果一个变化是

需要从5位数到6,一些CVE-processing软件可能会打破

因为内置假设5位数。因此,对于这

选项,会有两个不同时期的过渡

CVE ID语法:过渡到5位数,过渡到6

位数。然而,第二个过渡会那么严重,

这只会影响实现没有正确固定

在第一过渡。选项C的只会有一个过渡,

和选项只会有一个过渡,除非有一个

脆弱性信息披露实践的剧变

每年需要100万多个id。

因为没有明显改变语法直到10000年id

是需要的,这可能会阻止一些CVE实现者吗

改变直到为时已晚,已经发生的变化。

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

选择C: +任意数字+校验位

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

注意:ID将包括,一个连字符,一个序列号

1或多个数字,另一个字符,一个校验位计算

使用Luhn校验数位算法,用于其他

识别方案,诸如信用卡号码。这个语法

常见的配置使用的类似枚举(CCE);

看到http://cce.mitre.org/about/faqs.html B2为更多的信息。

实例标识符:

cve - 2014 - 1 - 8, cve - 2014 - 999 - 3, cve - 2014 - 1234 - 3, cve - 2014 - 9999 - 3

cve - 2014 - 10000 - 8, cve - 2014 - 54321 - 5, cve - 2014 - 123456 - 5

cve - 2014 - 999999 - 5, cve - 2014 - 1234567 - 4

优点:

这个ID的语法支持任意数量的漏洞,以及

因此,它是不会过时的。连字符和校验位

作为一个明确的边界,明确分解的ID

三个不同的部分,长度无关。CVE实现

符合这个语法时,不需要改变

数量的数字变化。

校验数位将用于自动检测错误

标识符。因为CVE的广泛使用,标识符输入错误

造成严重的混乱和维护成本来解决,

虽然这发生的频率是不清楚。自

有一个大规模的自动化管理的趋势

漏洞,校验位是非常有用的

在电脑数据完整性检查CVE id

交互。

限制:

首次发表后立即一个ID使用这种语法,

许多CVE程序假定老式语法将停止

正确地运作。

这个ID语法是最激进的改变老式语法。

它可能导致混乱的CVE消费者没有意识到

语法变化,因为“cve - 2014 - 1 - 1”似乎是一个畸形的

ID比老式的ID。

相对于其他选项,使用这个ID将会更加困难

人与人之间的沟通。

方熟悉语法可能的老式的ID

无意中省略了校验位。这可能会增加

实现成本或减少可用性的实现

假设IDs的校验位。

跟进:
- 再保险:CVE ID对语法选择完成——公众反馈开始
  - 来自:马尼恩艺术< amanion@cert.org >
- 再保险:CVE ID对语法选择完成——公众反馈开始
  - 来自:“大妈,斯蒂芬·v .”