再保险:关于CVE作业oss-sec邮件列表

在太阳,2015年11月29日15:11:20 + 0000 < Ken.Williams@ca.com >写道:“威廉姆斯,肯”> >:owner-cve-editorial-board-list@lists.mitre.org > > (mailto: owner-cve -editorial-board-list@lists.mitre.org]耶利哥派代表> >:星期四,11月26日,2015年28我啊> >:cve-editorial-board-list > > < cve-editorial-board-list@lists.mitre.org >主题:Re:关于在oss-sec邮件列表> > > CVE作业[…]> >如果CVE未能提供IDs在一些问题上,三个月后,我> >将亲自游说公司发布报告没有> >任务,并且明确警告,因为CVE > >选择不分配。这是不公平的CVE举起> >协调披露过程的情况下请求方> >和供应商自己并非必须。鉴于我建议CVE > >扩大CNA的身体,这似乎落在> >充耳不闻,没有理由横切。> […]>>A disclosure process should never be held up by a pending CVE > assignment. Just go ahead and disclose and put "pending CVE > assignment" on the CVE line. > > -- > kw > Adding a CVE ID 3 months after the publication of an advisory should only help historians. In my mind that defeats a main purpose of the CVE, which is to know if Alice, Bob and Charlie are talking about the same issue or not. Pascal