Re: cf列出错误在斜方保留

2014-05-14、09:29 Christey,史蒂文先生写道:>以来仅仅存在一个CVE ID可用于协调>即使没有密集的描述和引用,它可能是>用于其他董事会成员参与这个话题……>可能不太明显的是原始的cf数量>保留通过CNAs近年来显著增加>。保留cf * *三倍的数量从2009年到2013年(>基于CVE-YYYY-nnnn id最初预定的数量)。>这是因为增加的区域,采用> oss-security的崛起,以及增加私人预订>横切CNA因为我们的中央社成立团队和2011年> cve-assign@mitre地址……我只是开了一个讨论关于不同类型的CVE史蒂夫ID要求CERT处理。我们通常分配ID对于我们私下协调的漏洞报告,但是我们已经从供应商获得请求和研究人员的“只是”CVE ID,而不是协调。没有太多的请求(我不能很容易衡量,但~ 3/40供应商请求的第一部分2014),但它是我们要求指导水平当发行一个ID。总的来说,我们的分配率增长多年。(有时,我们充当了CNA其他csirt现在也必须是谁)。年允许讲分配= = = = = = = = = = = = = = = = = = = 2002 2005 2 2003 25 18 2004 10 8 30 22 2006 30 28 2007 85 84 2008 45 45 2009 2010 40 45 36 2011 125 125 2012 245 233 2013 155 155 2014 90 64(到目前为止)>的报告是“部分覆盖”为供应商>——不是完全覆盖——据>http://cve.mitre.org/cve/data_sources_product_coverage.html我通常期待一定程度的延迟/松弛/队列时间分配多个CNAs id和斜接/ CVE母舰CNA处理作业,并根据覆盖优先政策。213 RBP IDs *感觉*不像队列/积压太大,特别是如果他们是低优先级的报告。我认为这说明了压力之间保持一定范围的覆盖而漏洞的披露世界的力量正倾向于想要更多的报道。认为,艺术