回复：CVE ID语法投票 - 结果和下一步

这是依靠的。我们可以放弃``温度''并讨论这个民事吗？

al

2013年4月18日15:04，安全性<jericho@attrition.org>写道：

在2013年4月18日的星期四，kent_landfield@mcafee.com写道：

：不确定您是只想进行对抗还是不看
：现实。

我的目标是进行讨论，以便我们不继续投票
僵局。此外，我可以问您是否想和一些
您的评论。

：作为一个社区，我们已经超过了10,000个漏洞。如果

请教育我们。哪些VDB记录了10,000个漏洞
准确地给出了年份。然后向我们展示我是哪些内容经理。

这是正确的。我运行了唯一破坏了我的公共VDB
意识到，那是在2006年。从那以后，我们还没有再次击中10k，但是
我们正在以我们的历史回填努力来努力。

现在，您想讨论谁在对抗和/或谁是谁
在这里拖钓？再次，我说是绝对事实，不是
对抗性，从历史上看，我们还没有击中10,000 CVE。

：CVE不希望向他们报告所有不改变情况的所有这些。

绝对做。如果CVE说“我们不会报告所有
漏洞”，它与所需的分配池说话。
指南建议它们仅监视X源，这是y的百分比
在所有VDB中记录的总披露漏洞，它为我们提供了
一个好主意，如果1000万或1000万，当前或
现实的未来政策。

：那么您在争论的是一个数字吗？``真的吗？``通过扩展
：这是一个“单人”数字，您很可能会获得通过它的选票。A

：单位数？

实际上，我反对“ b”比我争论的“ a”更反对。不
做出假设。

我反对“ b”的混合格式，其中零的填充适用于
第一个9999条目，不再是。我想要标准格式。如果那是
'A'和6、7或18位数字，或者如果是“ B”，根本没有填充，我
不太在乎。我认为标准数字更容易使用，并且
有助于确保标识符的长度正确。

：至于自私？``您可悲的是错误的。这是真正的成本

：整个社区，所有使用CVE的供应商和组织
：在内部，他们也必须经过同一质量检查。``这不是

实际上也是不正确的。这绝对没有成本
社区的一部分，除非您自私地描述社区
作为“具有CVE系统技术实施的供应商”，
我是两个方面的一部分：我的日常工作和OSVDB。这影响了我
不仅仅是在某些方面影响您。

：自私，这反映了社区中所有人的成本
：必须处理。我们希望CVE采用是普遍的。我是

往上看。您对“社区”在这里有什么幻想
思考。您认为Joe Researcher每年有4次披露，也就是说
目前要求CVE有任何相关的费用吗？不。

是的，对社区的某些成员来说是真正的成本。是的，你是
比99％的社区成本要高得多。因此，我的
断言您的选择可能是偏见和自私的。那可能有点
对抗性，但也源于逻辑。

：我的看法更加清楚。我希望我们能从别人那里听到

： 出色地。``我们也知道你的立场。

除了，你没有。您做出了我概述并澄清的假设。
现在我告诉你“ A”或“ B”无关紧要，只要它是
标准，这会改变您的任何论点吗？我已经建立了
您实际上对两件事是不正确的。

- -
V.P.发展
高级恶意软件组
SourceFire，Inc。
办公室：403-616-7186