再保险:CVE ID发行策略使用新的ID语法

在2013-06-18十四36,Steven m . Christey写道:>,我们是否应该避免作业的cve - 2014 - 0001 > cve - 2014 - 0999(避免任何“前导零”)……>除了可能实现成本对于一些政党,有避免领导0 >其他好处?>——发行是否应该减少风险的情况下,id >可能无意中截断四位id(“截断缓解”)…>即使我们的沟通策略是非常成功的,风险依然存在>,要么(1)一些开发商不会学习> ID语法变化,或(2)一些开发人员将无法修复其>代码。根据一些研究我们今年早些时候进行的,>我们看到许多CVE-ID 4位数>被认为的实现。最著名的四位的假设可能是在代码>(1)提取或解析CVE id,或者(2)输出cf假设>特定的格式或长度。我会说话温和* *有利于避免前导零和保护第一批5块数字id。这些行动将支持一个更强大的信息的语法变化,目标是让人们尽快移动。甚至与语法变化和这两个控件,还有大量的前置时间,CVE用户不必满足2014年1月1日的最后期限。斜方最终控制发行id,所以很容易实现控制。 Anybody who can parse 4 digit IDs can keep on truckin' -- the only risk is reaching the 5 digit mark a little sooner. There will probably be some head scratching about why the numbers are skipping around. I'd suggest keeping the protecting block in place until the 5 digit mark is reached. The obvious counter argument (for leading zeros) is "Why fix something that isn't broken?" - Art