回复：CVE ID语法投票 - 结果和下一步

历史上课的课程是，如果您忽略了它们，您就会提出问题。当我们在1999年开始CVE时，我们认为每年不可能到达10,000 CVE。那就是所有涉及的共识。快进了十年，我们遇到了问题。今天，我们正处于必须纠正曾经认为不可想象的问题/情况的位置。我们真的想成为短视和忽略过去积极看到的事情吗？荒谬的不是保守的，是的。

作为必须在许多不同产品线路上处理此问题的供应商，许多不同的研究和开发数据库跨不同的安全技术，我们真的不想再次在这种情况下找到自己。这种类型的努力，改变了我们所做的一切都是不可或缺的格式，这不是免费的。需要的质量检查水平是惊人的。这些领域的每一个，无论是客户产品，内部开发还是研究资源，都必须验证其格式更改不会遇到问题。这并不像拥有一个数据库，这是非常广泛的，并且要进行更改并验证它的成本也将是。

至于MITER的局限性，在早期的日子里，他们不久前就不会认为自己可以应对当今的脆弱性水平。如果需要，事情变化和发展及其能力也将。CVE格式的更改不应通过当今CVE团队实施的限制来查看。我们并没有像未来的问题那样试图解决当今问题。CVE工作中还有其他压力，以及刚刚开始的全球漏洞识别工作。我今天没有将两者联系起来，但我也不会投票使我们处于这样的情况下，如果那是决定的话。

抱歉，我根据当今的现实礼貌地不同意您的意见。这影响了整个社区。这种变化将在我们今天不知道的领域引起问题。意外的后果在历史上也很重要。我希望CVE为未来的前进而定位，我不会再在这里又做什么。它太贵了，太破坏了，几乎没有帮助CVE的图像和采用。让我们不要近视，做对CVE的未来的正确事。

肯特·兰德菲尔德

McAfee |一家英特尔公司
直接：+1.972.963.7096
手机：+1.817.637.8026
网络：www.mcafee.com

从：安全性curmudgeon <jericho@attrition.org>
日期：2013年4月18日，星期四，上午11:43
到：肯特·兰德菲尔德<kent_landfield@mcafee.com>
CC：“cve-editorial-board-list@lists.mitre.org“ <cve-editorial-board-list@lists.mitre.org>
主题：回复：CVE ID语法投票 - 结果和下一步

2013年4月18日在星期四，kent_landfield@mcafee.com写道：

：感谢您的评论，因为我认为它是现实的。我也想更多

：扩展选项A是合理的选择。我之前已经说过

：McAfee觉得6位数字太短了，对于未来的证明和

：如果延长到7或更多，我们可能已经改变了投票。我看到问题

：使用选项B，但未来的证明确实是我们的驱动因素

： 决定。我想第二次哈罗德的请求重新考虑选项

： 长度。

McAfee或因“未来证明”而投票赞成“ B”的任何人都可以吗

顾虑请解决有关如何荒谬的重复评论？

如果您在史蒂夫·克里斯蒂（Steve Christey）的CVE投票电子邮件中错过了它：

应该注意的是，团队认为任何情况

将要求每天发行（平均）超过2,700 CVE ID

（每年999,999个ID）将反映

CVE ID的含义和使用。换句话说，需要的“ CVE”

发布2700多个ID不会是今天的CVE。

正如RBS的Carsten Eiram所指出的那样：

1）脆弱性报告和覆盖范围中纯粹的理论爆炸

（请记住，Miter当前很难跟上

现有趋势，不保证将分配所有漏洞

CVE）。从报告每年报告的8K-10K漏洞到> 1的变化

百万是不现实的。即使有人开始审核大量

具有自动代码扫描工具的项目，没有任何手册

后续分析只会将结果转储到某些邮件列表上，我们

将很难被耗尽6位数字。我们将讨论

在击中这些数字之前，资源问题很早就既不是CVE也不

任何CVE处理器都将能够跟上这样的负载。

因此，我礼貌地要求任何人投票反对“ A”并引用了这一点

关注点，请先讨论。我不明白这是真实的

关注，特别是与几家基本上的公司结合

说：“选项B在我们当前的系统上要容易得多，我们必须

改变较少的“这似乎是非常自私的，并不符合

社区与您的特定公司的兴趣一样。

谢谢你，

布莱恩