CVE项目优先级

日星期四,2015年12月17日上午十一17,在线程“CVE即将到来的变化,”Kurt Seifried写道:

>有一个埃塔在任何吗?天/周/月?

在这一点上,显然CVE不能覆盖每一个已知的漏洞。一个简单的事实是,每年发表的cf数量已经跟不上速度或披露的缺陷的数量。CVE成功运营多年但还需要根本性的变化。15年前,我们可以有效地关注美国部门,告诉自己,我们在本质上是提供覆盖全球。鉴于国际软件开发的爆炸,情况已不再是这样。

如上所述CVE网站”CVE是由us - cert办公室的网络和通信(CS&C)在美国国土安全部。“国土安全部已经确定了若干关键基础设施领域和CS&C是确定为美国这行业中的领先地位。当我们考虑如何增加CVE的覆盖率,CVE -作为最高优先级必须有效地提供完整的报道在美国所使用的软件和设备部门。

CVE所需实现根本性的变化,我们编辑部必须对付一个许多重要的话题而CVE继续操作。我们一直积极倾听和听力上的问题和担忧董事会名单和在外面。我们正在内部了解问题和相互依赖关系限制CVE和反映这些回董事会审议。

为此,我们建议以下的任务列表,在优先顺序:

0。 CVE的操作

1。 CVE的优先覆盖的范围和相关的资源和产品

2。 复审和简化的CVE漏洞

3所示。 所需的“质量”的最终CVE条目

4所示。 清楚,重新定义了规则和操作指南和管理区域

5。 清楚,重新定义并为成为CNA更具包容性的规则

6。 继续修订关于董事会成员和添加成员的过程

我们真诚感谢董事会的持续努力。你一直CVE的关键部分,从回到天的投票在罐到今天。我们期待评论和讨论这个列表CVE发展。

最好的问候,

史蒂夫·博伊尔