(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:CVE ID语法变化——投票选举(截止日期4月14日11:59 EDT)
- 来:cve-editorial-board-list <cve-editorial-board-list@LISTS.MITRE.ORG>
- 主题再保险:CVE ID语法变化——投票选举(美国东部时间11:59截止日期4月14日)
- 从:Carsten Eiram <che@riskbasedsecurity.com>
- 日期:2013年4月6日坐22:07:52 + 0200
- 交货日期:2013年4月6日16:09:48坐下
- 在回复:<201304012058. r31kwmho024900@faron.mitre.org>
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-Owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-Subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-Unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:<201304012058. r31kwmho024900@faron.mitre.org>
- 发送方:<owner-cve-editorial-board-list@LISTS.MITRE.ORG>
投票代表基于风险的安全(RBS)。
选项:一年+ 6位数,与领先的0
�例子:CVE -2014 - 000001CVE -2014 - 000999CVE -2014 - 001234,
�CVE -2014 - 009999CVE -2014 - 010000CVE -2014 - 054321CVE -2014 - 099999,
�CVE -2014 - 100000CVE -2014 - 123456CVE -2014 - 999999
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
投票选举
= = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = = =
输入您的选票在前面的“指令”,被指定
“填写选票”部分。
第一选择:
选项:一年+ 6位数,与领先的0
�例子:CVE -2014 - 000001CVE -2014 - 000999CVE -2014 - 001234,
�CVE -2014 - 009999CVE -2014 - 010000CVE -2014 - 054321CVE -2014 - 099999,
�CVE -2014 - 100000CVE -2014 - 123456CVE -2014 - 999999
�
原因(首选):�
最直接的,接近现有的计划,定长(即可能认识到坏(截断或相反)值,并且应该完全不会过时。
阐述后者声称,我知道有分歧。有两种方法我们可以排6位数:
1)纯理论爆炸漏洞报告和覆盖率(记住,横切目前麻烦跟上现有的趋势,不保证所有漏洞将被指派cf)。改变从每100万年> 8 k - 10 k漏洞报告时是不现实的。即使有人开始审计一吨项目自动化代码扫描工具,无需任何人工后续分析转储结果在某些邮件列表,我们将很难排6位数。我们将讨论之前触及这些数字资源问题,无论是CVE还是任何CVE处理器能够跟上这样的负载。
2)一些相关参数是w.r.t.考虑未来可能的变化CVE分配规则/政策/覆盖和CNAs在全球范围内的数量。虽然好点,每年100万cf应该很好地覆盖更多的作业以及可能增加CVE浪费(即永远保留/未使用的条目和重复作业)的结果越来越大CNA池。我们可以分配100 k CVE标识符/大陆,还有很多。
在我看来,大多数反对这个选择中心想要稳扎稳打。我还没有看到一个令人信服的论点2额外的数字是不够的。有完全有效的原因喜欢其他的选择,但不喜欢这个特定的选择仅仅因为我们害怕犯错误,最终耗尽6位数没有能够把一些具体的数字或类似放在桌子上很贫穷。我们应该做出的决定是基于事实,我们长期在这个行业的经验,和知识的趋势——不只是随机的恐惧没有具体的信息。自然,我们不想再次运行了,但我们会从10 k到100万年;目前,我们甚至很难使它成为5位数。
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
第二选择:
选项B:年+任意数字,没有领导除了id 0 1到999
cve�例子:cve - 2014 - 0001 - 2014 - 0999, cve - 2014 - 1234,
cve�cve - 2014 - 9999 - 2014 - 10000, cve - 2014 - 54321, cve - 2014 - 99999,
�CVE -2014 - 100000CVE -2014 - 123456CVE -2014 - 999999,cve - 2014 - 1234567
cve�例子:cve - 2014 - 0001 - 2014 - 0999, cve - 2014 - 1234,
cve�cve - 2014 - 9999 - 2014 - 10000, cve - 2014 - 54321, cve - 2014 - 99999,
�CVE -2014 - 100000CVE -2014 - 123456CVE -2014 - 999999,cve - 2014 - 1234567
�
原因(第二选择):
有点类似于现有的计划,但CA的肯•威廉姆斯还包括,它只是一个等待发生的失败w.r.t.截断问题。如果这个计划应该是比较有用的,这应该是选择一个添加额外的数字的可能性。在这种情况下,它将至少不太可能打开截断问题。也很混乱,或者“丑陋”布莱恩·马丁绚烂地指出。
�
* * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
最后的选择:
选择C: +任意数字+校验位
�例子:cve - 2014 - 1 - 8, cve - 2014 - 999 - 3, cve - 2014 - 1234 - 3
�CVE - 2014 - 9999 - 3, CVE -2014-10000-8CVE -2014-54321-5,
�cve - 2014 - 123456 - 5, cve - 2014 - 999999 - 5, cve - 2014 - 1234567 - 4
�例子:cve - 2014 - 1 - 8, cve - 2014 - 999 - 3, cve - 2014 - 1234 - 3
�CVE - 2014 - 9999 - 3, CVE -2014-10000-8CVE -2014-54321-5,
�cve - 2014 - 123456 - 5, cve - 2014 - 999999 - 5, cve - 2014 - 1234567 - 4
�
原因(最后的选择):
老实说,一个混乱的和毫无意义的计划,从来没有或极很少会充分利用点是什么?我认为这是纯粹学术的和不切实际的。
- 引用:
- CVE ID语法变化——投票选举(截止日期4月14日11:59 EDT)
- 来自:< cve-id-change@mitre.org >
- CVE ID语法变化——投票选举(截止日期4月14日11:59 EDT)
- 上一页的日期:CVE ID语法-请投票
- 下一个按日期:CVE ID语法变化——投票选举(截止日期4月14日11:59 EDT)
- Prev线程:再保险:CVE ID语法变化——投票选举(截止日期4月14日,美国东部时间晚上11:59)
- 下一个线程:CVE ID语法变化——投票选举(截止日期4月14日11:59 EDT)
- 指数(es):
