[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的

我们如何解决这个问题？

到：Jericho <jericho@attrition.org>，CVE-编辑板列表<cve-editorial-board-list@lists.mitre.org>
主题：我们如何解决这个问题？
从：“ Waltermire，David A.（美联储）” <david.waltermire@nist.gov>
日期：星期六，2016年3月5日20:27:11 +0000
接受语言：en-us
身份验证重分：spf = none（发件人IP是129.83.29.3）smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none（Messagenot签名）header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = noneheader.from = nist.gov;
交货日期：MOR 7 08:07:35 2016
列表助手：<mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
列表所有者：<mailto：cve-editorial-board-list-request@lists.mitre.org>
列表订阅：<mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
list-unsubscribe：<mailto：cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
发件人：<所有者cve-editorial-board-list@lists.mitre.org>
spamdiagnosticmetadata：NSPM
spamdiagnosticmetadata：43DA9C421BE74AED97248473DB21FD15
spamdiagnosticOutput：1：23
spamdiagnosticOutput：1：2
线程索引：adf3hsex5zctv3mgtckghi4sj0fz9a ==
线主题：我们如何解决这个问题？

我一直在进行报道讨论，并有几个想法打动我。1）我们应该寻找使CNA为可以由社区管理的产品领域提供覆盖范围的方法。这将涉及将CNA分配为每个确定社区中的协调机构。这种类型的方法可以使总体可扩展性更大。CNA可以使用分配的CVE块或集中作业服务来处理CVE分配，以获取新的CVE ID。在分配过程中，这将减少斜切的负担。我们需要考虑如何以这种方式处理DUP。如果CNA/社区可以很好地分区，则可以使他们负责其范围内的协调和淘汰。2）MITER不应将重点放在CVE分配的低音果实上，而应关注其他人愿意覆盖的覆盖范围。这可能具有改善整体覆盖范围的影响。 Is this something that could work? It would be good to get some conversation going around re-thinking the processes and mechanisms to allow them to scale. It is clear that the current solution does not accomplish that. I also don't see why we need to wait for MITRE to host a meeting to have this conversation. Sincerely, Dave > -----Original Message----- > From: owner-cve-editorial-board-list@lists.mitre.org [Mailto：所有者cve-> Editorial-board-list@lists.mitre.org]代表耶利哥>发送：发送：2016年3月4日，星期五，下午10:56> to：cve-editorial-board-list >主题：FWD：RE：延误了许多CVE-ID分配（FWD）>重要性：High >>在Kurt的邮件中跟进。>>我会要求斜切以不责怪CVE社论>董事会的方式做出回应，并完全拒绝发布ID。>>请注意，MITER还拒绝向HTBRIDGE发布ID，以获取OSCommerce中的漏洞，其中超过250,000家已部署商店，称其为“范围内”，如下所示。>>https://cve.mitre.org/data/board/archives/2012-05/msg00032.html>>这个线程清楚地表明，编辑委员会没有给出真正的选择>就来源而言，只选择了最重要的一部分来源。>智慧：>>当您考虑这些群体时，请理解我们正在讨论>优先级，而不是可行性。可能需要更改CVE的当前>实践，以为其中一些来源提供既定的覆盖目标>。我们将在以后的电子邮件>讨论中解决该问题。>>我们将给出一些迹象，说明为什么我们认为第二组应该仅在下面部分覆盖。>> MITER的失败或不愿发行ID并不是“与CVE编辑委员会同意”。我们得到了一些绝对可怕的选择，可以选择，现在您声称正在执行我们的同意？那就是完全改变责备。>>接下来，考虑一下我在2016-01-29上发送了有关潜在的重复>作业的电子邮件分配，在2016-02-02上获得了自动重复的方式，>在2016-03-02再次戳了MITER提醒他们>问题中的两个供应商是IBM和Apache，均在主要列表上。 Only then did they > reply with the details needed to help figure out the confusion in assignment, > which is still outstanding (but now squarely looking to be on the shoulders of > the researcher, not MITRE or a CNA). > > Further note that the archives are not updating, magically again, when a > negative post about the MITRE process appears. It's getting hard to write this > off as coincidence. > > .b > > > -------- Forwarded Message -------- > Subject: RE: Delays with numerous CVE-IDs assignments > Date: Thu, 18 Feb 2016 23:01:37 +0000 > From: Coffin, Chris  > CC: CVE ID Requests  > > I am very sorry for the delays in responding to these requests. The CVE team > is actively working towards providing more timely responses to all CVE- > related communications. > > The MITRE CVE team has started enforcing the scope and coverage > requirements previously agreed upon with the CVE Editorial Board, and > outlined inhttp://cve.mitre.org/cve/data_sources_product_coverage.html。> MITER和CVE编辑委员会几年前就此范围达成协议，但直到最近才通过拒绝将CVE ID分配给产品>不超出范围的产品而生效。我们目前正在与CVE编辑委员会合作，以定义更新的产品列表，以及一个将允许允许产品添加或减去产品的流程，但不知道>何时完成。>>除了已经分配了> cve-id的指数cms问题外，列出的咨询会影响我们在我们的>发布或开发产品列表中未出现的产品，因此此时将不超出>范围。如果您认为这是错误的，并且这些产品>应该在CVE范围内，请随时提供理由（即>大型安装基础，在许多IT商店中使用等）。如果您确实提供了理由，>我们将将产品添加到列表中以进行以后的审查和可能的包含>在CVE产品列表中。>>如果您还有其他问题或疑虑，请随时提出，我很乐意为您提供帮助。>>最好的问候，>>克里斯·科芬> CVE团队> MITER Corporationmanbetx客户端首页