回复：CVE ID语法投票 - 结果和下一步

优先：

固定长度。

6位数。

如果我们达到100万，那么我们就可以移至8或9位数字。

感谢致敬，
肯·威廉姆斯

从：所有者 - cve-editorial-board-list@lists.mitre.org [mailto：lands-cve-editorial-board-list@lists.mitre.org]代表安迪·巴林斯基（巴林斯基）
发送：2013年4月25日，星期四，上午11:23
到：CVE编辑板列表
主题：回复：CVE ID语法投票 - 结果和下一步

• 您喜欢固定长度还是可变长度？

固定长度（在没有看似不受欢迎的校验数字的情况下）。

我们每天在CVE上进行搜索的员工也将非常欣赏允许在部分CVE上进行比赛的工具（例如，如果他们将CVE-2014-1解释为CVE-2014-2014-000001。扩展到9、14或其他。每次您搜索时要计算所有这些零很痛苦。）但是请注意，这将会仅有的进行搜索。我们仍会主张人们以完整的数字范围发布新CVE。出版是每个CVE的一次性活动，因为您正在研究产品漏洞，因此可以多次进行搜索。

• 如果您喜欢固定的长度，您认为足够的场长度？

6位数字。

安迪

2013年4月25日，上午10:24，<kent_landfield@mcafee.com>

从：，哈罗德<harold.booth@nist.gov>
日期：2013年4月24日，星期三，下午9:17
到：CVE编辑板列表<cve-editorial-board-list@lists.mitre.org>
主题：回复：CVE ID语法投票 - 结果和下一步

虽然我相信我了解基于对话中的先前上下文所问的是什么，但我想验证我的假设。

按静态长度，我假设将指定最大长度，而不是以前的选项B和C所示的无限长度。我想看看与长度问题分开的零填充问题。

我还想建议我们将来可能要对这些选择使用不同的措辞，因为可以解释静态长度以始终指示具有相同数字数字数量的标识符，可能会用零填充，而可变长度则可能被解释为指示未填充的标识符，仅包含重要的数字。

• 您是否想要CVE ID的静态长度？

是的，指定的最大长度更容易编写解析和验证逻辑，并在一天结束时，每个人都必须决定某种截止时间。

我对是否应填充标识符是否应填充，除了注意到没有填充物的标识符打开了延长过渡时间的可能性，而带有填充的标识符需要突然开关的可能性。除非有充分的理由使用衬垫标识符（我有兴趣听到任何存在的标识符），我会认为更长的过渡期的好处将倾斜，而没有填充。

• 如果是这样，您觉得您可以接受多少长度？
• -6-7 - 12-更多？- 还有其他吗？

我相信9位数字就足够了。它的数字并不那么多，它会是压倒性的，但具有灵活性，可以容纳史蒂夫（Steve）的某些场景。

- 对亚当关于尾随的建议有任何评论吗？

例如，数字被十分排定是模棱两可的，例如，想象一下CVE今天是否有落后而不是领先的零，我们有以下数字：

1000

这是一个带有三个尾随的零的1吗？一个带有两个尾随的零的10？一个100落后零？还是1000没有落后的零？

问候，

- 哈罗德

从：所有者cve-editorial-board-list@lists.mitre.org[[mailto：所有者cve-editorial-board-list@lists.mitre.org这是给予的代表博伊尔，斯蒂芬V.
发送：2013年4月24日，星期三，下午6:18
到：CVE编辑板列表
CC：博伊尔，斯蒂芬V.
主题：回复：CVE ID语法投票 - 结果和下一步

我们非常感谢自投票以来就进行的讨论，我们（一如既往）对一个体贴的，参与的董事会感到非常感谢。谢谢大家。

米特（Miter）同意，第二票是必要和审慎的，我们同意从进一步考虑中取消了选项C。

关于标识符长度的讨论：在列出标识符的固定6位数字字段的规模之前引用了一封电子邮件。释义，一个日历年中的CVE ID超过999,999，每天都必须发行3,968 CV​​E，以假定每年正常的252米特工作日。（“超过2,700”的原始数字基于365个工作日。）

虽然我每个工作日约有4,000 cves的想法对我来说似乎不可思议，但我在一开始就当时决定每年有10,000 cves是古怪的。我非常同情，我们不知道将来会做什么。作为一个可能的例子，有些人已经谈论了与CNA级别的“全球” CVE（我更喜欢在这里和现在不讨论）。我个人认为，这样的层次结构计划是实用或可行的（超出了当前两个斜切和CNA的级别），但我认为每年> 9,999 CVE都不是实用或可行的。此外，我们一直在研究基础架构，工作流和人员配备，以便我们可以根据可用资金来增加吞吐量并潜在地减少响应时间。

I haven’t heard about people trying to save bits on disk for quite a while, so the idea of 7, 8, 9 … characters in a fixed-length number field of the identifier feels kinda the same to me, especially when considering the ID field length as a percentage of the average number of characters in a CVE entry (ID, Description, References).

我们真的很想看到对肯特对民意调查的建议的一些回应 - 如果您愿意的话，稻草投票。肯特的建议是：

--------------------------------------------------------------

我们可以快速对现有选项的组合以及ART列出的选项进行快速民意调查吗？我认为对选择的重新打击可能会使我们进入一个更好的投票场所。

• 您是否想要CVE ID的静态长度？
• - 是的 - 不
• 如果是这样，您觉得您可以接受多少长度？
• -6-7 - 12-更多？- 还有其他吗？

--------------------------------------------------------------

换一种方式：

- 您喜欢固定长度还是可变长度？

- 如果您喜欢固定的长度，您认为什么场长度足够？

- 对亚当关于尾随的建议有任何评论吗？

我们想听取董事会的消息，以便我们可以塑造一组选项，以进行第二票。欢迎合格的董事会选民和非投票人发表评论。您对该主题的迅速和周到的关注将不胜感激。

再次感谢您的参与和周到的回应。

此致，

史蒂夫·博伊尔

CVE项目负责人