CVE ID语法更改 - 投票选票

投票给麦卡菲。

=================================================

投票选票

=================================================

首选：选项B

-------------------------------------------------------------------------------------------------------------------

选项B：年份 +任意数字，没有领先0，除了IDS 1至999

-------------------------------------------------------------------------------------------------------------------

原因（首选）：

未来的证明对McAfee很重要。我们选择选项B作为我们的首选，它为CVE提供了将来根据需要扩展的能力。此外，此选项允许对现有用户社区产生最小的影响。客户熟悉现有格式，新格式的更改将更容易解释和纳入我们的产品。我们今天的软件能够使用这种格式而无需进行重大更改，例如Check Digit选项需要。如果指定了6位以上的数字，我们可能已经投票选出了选项A，但认为6位数字没有提供我们想要的未来证明。McAfee不想在某种情况下再次看到自己，因为需要改变CVE格式。

*************************************************************

第二选择：选项A

------------------------------------------------------------------------------------------------选项A：年 + 6位数字，领先0----------------------------------------------------------------------------------------------------------

原因（第二选择）：

虽然我们认为这个选项本来可以为我们的第一选择而奔跑，但人们认为标识符的长度太短了。需要7个以上的数字来提供我们想要的未来证明。我们确实认为这比包括支票数在内的第三个选项要好得多。具有静态长度ID会很好，但不能以对未来的CVE ID格式为代价。

*************************************************************

最后选择：选项C

------------------------------------------------------------------------------------------------选项C：年 +任意数字 +支票数字------------------------------------------------------------------------------------------------------------------------------------------------------------------------------

原因（最后选择）：

我们已经看到并支持在CCE另一个枚举中使用的Luhn Check Digit。从我们的角度来看，这并不是有用的，我们看不到它在将来如此有价值。选项C及其支票数字也可能对整个安全社区非常破坏。与前两个选项不同，合理的代码更改是不可避免的，并且此选项要求。这将影响大量软件，包括开源，商业产品和内部运营用途。此选项有可能引起社区最大的失败和困惑。客户和整个用户社区都必须接受有关卢恩数字是什么以及为什么在那里的教育。CVE格式是可以识别的，并且今天被理解。除了识别和处理新的CVE格式外，处理CVE ID的软件还必须处理旧格式。这会使更改到该领域的更改，因为需要在支持CVE前进的所有产品中进行软件更改。 The impact required by the forced software changes, combined with the initial customer and community confusion were the reasons this was our least favorable option.

肯特

肯特·兰德菲尔德

McAfee |一家英特尔公司
直接：+1.972.963.7096
手机：+1.817.637.8026
网络：www.mcafee.com