回复：CVE ID语法投票 - 结果和下一步

2013年4月18日，星期四，晚上8:51，艺术<amanion@cert.org>写道：

-----开始PGP签名消息-----
哈希：sha1

导致我重新考虑的是越来越活跃的想法
CNA。``现在，米特（Miter）小心地分发了ID的适度分配，
通常是依次到达数十个CNA（？）。``我不认为有
浪费很多。

正确的。我不记得谁最初提出了这一点，但是正如我之前提到的，我发现它非常有效，这确实使我重新考虑。经过一番思考，我最终得出结论，我仍然考虑了6位数字来完成这项工作（我也不会有7个固定数字的问题）。

拥有更多的CNA或超级CNA不会显着增加CVE的输出。当然，MITER可能有更多的时间来分配较少的优先问题，因为其他CNA正在分担一些负担，但是最终拥有更多的CNA只是意味着其他人正在分配CVE而不是MITER。

当管理Secunia的研究团队，为我们自己的发现分配CVE时，我正在处理CNA池，后来通过SVCRP进行了协调报告。但是，Secunia成为CNA并不意味着突然被分配了更多的CVE。我们只是在介绍我们的问题，而不是斜切。

让我们假装每个主要软件供应商成为CNA。同样，这可能会增加CVE分配的数量，但最终这些CNA将只分配MITER否则会分配的CVE。

因此，关于更多CNA和Super CNA的主要关注点似乎集中在CVE废物周围，如下所述。

�

我想对未来的环境有更多的CNA（100s？）的世界，
更多的任务授权（例如Modulo Slice或大序列块
一年的CVE ID空间）。``在这个世界上，仍然可能没有
每年发布超过100万CVE ID，但可能有超过
1M分配给CNA的CVE ID。�Altocation！=出版物。

我完全同意分配！=出版。我也同意，如果我们有更多的CNA，我们应该期望CVE浪费会增加。

但是，如果我们希望6位数字不足的主要论点是我们期望看到CVE废物的根本性增加，那么为什么我们选择通过创建潜在的无限CVE系列或使用> 6位数字来“解决”该关注点？我们不应该通过确保将其最小化的可靠CNA政策来处理CVE废物问题吗？显然，如果我们突然出现浪费的大量增加，CNA池的分配将是非常错误的。

现在，我看不到这个特定新世界的任何强烈指标。

我也没有考虑，要考虑的另一点是，尽管我们所有人都可能喜欢看到大量的CNA弹出（我个人倡导了很多次，甚至自我教育了一些没有教育的人没错），它会发生什么？CVE有很多消费者，但没有很多贡献者。公司成为CNA的动机是什么？我看不到将来的世界将如何改变，更多的人愿意为该项目做出贡献。

�

但是似乎足够合理地想预先计划。

我很欣赏这一点，但是到了一天结束时，我们应该考虑多少个“ IFS”？我们需要在10 - 15年内研究我们的现实状况，以及支持未来的最佳方案 - 如果所有恒星正确地（在）正确对齐的情况下，我们“害怕”的最佳计划可能会发生。

/Carsten

�