Re: cf列出错误在斜方保留

对不起,反应迟缓。15日以来我一直在路上。

不是CNA发行过程的一部分发送横切CVE发出相关信息,当一个人吗?如果是这样那么斜方只需要添加的信息。你的信息似乎表明你正在寻找RBP条目,而不是作为一个必须提醒你发行的一部分。是这样吗?CNAs发送他们的作业吗?

肯特Landfield
导演,标准和技术政策
迈克菲。英特尔的安全

+ 1.817.637.8026

来自:< Christey >,“Steven m .”<coley@mitre.org>
日期:星期三,2014年5月14日上午九29
:肯特Landfield <Kent_Landfield@McAfee.com>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:RE: cf列出错误在斜方保留

肯特

因为仅仅存在一个CVE ID可以用于协调即使没有密集的描述和引用,它可能是有用的其他董事会成员参与这个话题。

我们一直在积极地充填采矿老保留cf,特别是最近几个月。谁密切监视CVE都知道,我们的整体效率是最高的。

可能不太明显的是原始的cf保留通过CNAs近年来显著增加。保留cf * *三倍的数量从2009年到2013年(基于CVE-YYYY-nnnn id最初预定的数量)。这是因为增加的区域,采用oss-security的崛起,以及增加私人预订CNA的横切CNA因为我们建立团队和在2011年cve-assign@mitre地址。

尽管如此急剧增加的预订,我们通常描述为90 - 95%的保留流传的cf,公众在任何时候。

注意,当你的电子表格296行,许多cf出现在多个行。有224个独特的CVE电子表格中的id。

这封电子邮件,213这224独特的cf仍然是我们所说的“reserved-but-public”(RBP):中引用的CVE被公共警告,但仍然显示保留CVE的描述。其他11个已经更新为描述和引用(“填充”)因为你首次生成表格(必须漂亮列出最近因为cve - 2014 - 0196)。

我们在“RBP积压”取得进展几乎每星期。这就是为什么你的列表已经有11个cf填充。的名单也被派往oss-security今年2月,将近300 cf填充。

你提到的很多在你的电子表格条目Linux供应商报告。

大部分的报告是“部分覆盖”为供应商根据——不完全覆盖http://cve.mitre.org/cve/data_sources_product_coverage.html。这反映了我们关注足额的来源,其中包括Debian, Ubuntu, Red Hat和SUSE。我们有更好的覆盖范围比其他Linux供应商的供应商,特别是在过去的一年。因此,许多老一辈的cve - 2011 - xxxx和cve - 2012 - xxxx来自那些足额的供应商。(注意,我们不考虑OpenSUSE的一部分)“Attachmate的:SUSE”一类,和Fedora是明确提及的部分即使它是由Red Hat)。

我们处理RBP待办事项列表如下。日常,CVE内容团队专注于填充保留cf为当前活动引用和创建新的cf必备产品。每当工作完成(或等待耗时的深入分析),我们减少积压的老,reserved-but-public (RBP) cf -关注足额的来源,而且占的部分供应商。尽管vendor-originated警告可能优先,我们也回填其他RBP cf或创建新的non-must-have产品的培训和/或受到初级分析师的关注。

澄清的一个点。你说:

斜方删除这些CVE的机会更少在我们看来这些供应商报告

我们很少删除(即。“* *拒绝* *”)reserved-but-public cf,一般来说,我们更多的关注与供应商有关的问题报告。

我希望这些能够充分的解释情况和我们如何处理它。

——史蒂夫