Re: CVE ID语法投票,结果和下一步

来:cve-editorial-board-list <cve-editorial-board-list@LISTS.MITRE.ORG>
主题再保险:CVE ID语法投票——结果和下一步
从:“安迪Balinsky (Balinsky)”<balinsky@cisco.com>
日期:星期四,2013年4月25日16:23:04 + 0000
接收语言:en - us
交货日期:2013年4月25日12:25:35星期四
在回复:<3 cba099fba0ab843895d72474092b8cf1fa5ab@mivexamer1n1.corp.nai.org>
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-Owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-Subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-Unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:<3 cba099fba0ab843895d72474092b8cf1fa5ab@mivexamer1n1.corp.nai.org>
发送方:<owner-cve-editorial-board-list@LISTS.MITRE.ORG>
Thread-Index:Ac46LCTGDDHn280iS2Wc7geUI3AJbQAfyVcQAGZtTgAADjO8gAACeScAAANdlQAAAXuJgAABx / mAAACTrAAAAVKOAAAAOh0AAAljaYAAA6 + xAAAZ7 / UAAQcpyoAACGULgAAbd2kAAAIM + IA =
Thread-Topic:CVE ID语法——投票结果和下一步

你喜欢固定长度或可变长度?

固定长度(没有看似不受欢迎的校验位)。

我们的工作人员,在搜索交易CVE的每天也非常感谢工具,允许匹配部分CVE的(例如,如果他们解释CVE - 2014 - 1 CVE - 2014 - 000001。尤其如此,如果数字的数量扩大到9日,14日,等等。这是一个痛苦数0每次搜索。)但注意,这个会只有被搜索。我们还是提倡人们发布新CVE的全数字范围。出版是一次性的事件/ CVE,搜索可能做很多次,当你正在研究产品漏洞。

如果你喜欢固定长度、字段长度你认为足够吗?

6位数。

安迪

于2013年4月25日24点,<Kent_Landfield@McAfee.com>

来自:<布斯>,哈罗德<harold.booth@nist.gov>
日期:周三,2013年4月24日9:17点
:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:RE: CVE ID语法投票,结果和下一步

虽然我相信我明白是被要求基于上下文在谈话之前我想验证我的假设。

通过静态长度我假设最大长度将被指定相对于无限的长度与前面的选项B和C。我希望看到与零填充的问题分开的长度问题。

我还想建议我们可以使用不同的措辞以来这些选择在未来可以解释静态长度来表示一个标识符与相同数量的数字,可能与零填充,而可变长度可以解释为一个标识符表明不是垫就包含了有效数字。

你渴望一个静态CVE id长度?

是的,一个指定的最大长度是更容易编写解析和验证逻辑,在一天结束的时候每个人都将不得不决定某种截止。

我没有强烈的意见是否标识符应垫除了要注意,一个标识符没有填充留下一段过渡时间的可能性与填充一个标识符时,需要突然开关。除非有充足的理由的标识符(我有兴趣听到任何存在的)我认为的好处更长的过渡时期不会倾斜的填充。

如果是这样,你觉得什么长度会接受你吗?

12 - 6�7��?——其他东西?

我相信9位数就足够了。这�年代不是很多数字是压倒性的,但叶子的灵活性适应史蒂夫暗示了下面的一些场景。

——任何评论亚当�年代尾随零的建议?

模糊数字整除十,例如想象如果CVE今天落后而不是前导零,我们有以下数量:

1000年

这是一个1和三个尾随零吗?10有两个0 ?100年与一个后补零?或1000年不落后于0 ?

问候,

哈罗德

来自: owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表博伊尔,斯蒂芬·V。
发送:周三,2013年4月24日18点
:cve-editorial-board-list
答:博伊尔,斯蒂芬·V。
主题:RE: CVE ID语法投票,结果和下一步

我们非常感谢以来发生的讨论投票,我们(总是)非常感激约翰是一位深思熟虑,参与董事会;感谢所有。

斜方同意,第二个是必要的和审慎的投票,我们一致认为,从进一步考虑选项C已被消灭。

关于标识符长度讨论:前一个电子邮件报价列出了固定的规模,6位数字字段的标识符。转述,任何超过999999 CVE id在一个日历年度每天将需要发行3968 cf假设正常的每年252横切工作日。(超过2700��原始号码是基于365工作日。)

时的想法~ 4000 cf /天在我看来不可思议的工作,我也在一开始时决定每年10000 cf是古怪的。我很同情,我们不知道我们��再保险在未来要做的。作为一个可能的例子,有些人谈到全球��CVE与层区域(我不喜欢现在讨论)。�我个人不认为这样的分层方案是可行的或可行的(除了当前两个级别的斜方和CNAs),但我认为> 9999并�t cf每年实际还是可行的,。此外,我们一直致力于基础设施建设,工作流程和人员,这样我们能够增加吞吐量和可能减少响应时间根据可用的资金。

我没听说过�人们试图保存在磁盘上相当长一段时间,所以7,8,9�字符在一个固定长度的数域标识符的感觉对我有点相同,尤其是当考虑到ID字段长度的比例CVE条目的平均数量的字符(ID、描述引用)。

我们真的很想看到一些反应肯特��稻草投票调查的建议,如果你愿意。肯特�年代的建议是:

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

我们能有一个快速调查相结合的一组现有的选项和下面列出的艺术?我认为re-whittling的选择可能会给我们一个更好的地方进行投票。

你渴望一个静态CVE id长度?

——是的不�

如果是这样,你觉得什么长度会接受你吗?

12 - 6�7��?——其他东西?

- - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - - -

换句话说:

——你喜欢固定长度或可变长度?

——如果你喜欢固定长度,字段长度你认为足够吗?

——任何评论亚当�年代尾随零的建议?

我们�想听到从董事会在这,这样我们才能塑造考虑第二轮投票的选项设置。合格的董事会选民和不投票的人都欢迎置评。你的提示和深思熟虑的注意力集中在话题,将不胜感激。

再次感谢您的参与和深思熟虑的反应。

最好的问候,

史蒂夫·博伊尔

CVE项目负责人

跟进:
- Re: CVE ID语法投票,结果和下一步
  - 来自:帕默< pmeunier@cerias.purdue.edu >
- RE: CVE ID语法投票,结果和下一步
  - 来自:“Christey, Steven m .”
- RE: CVE ID语法投票,结果和下一步
  - 来自:”威廉姆斯,詹姆斯K”< James.Williams@ca.com >

引用:
- Re: CVE ID语法投票,结果和下一步
  - 来自:< Kent_Landfield@McAfee.com >