FWD：回复：延误了许多CVE-ID分配（FWD）

跟进Kurt的邮件。我要求Miter以不责怪CVE编辑委员会的这些延误的方式做出回应，并完全拒绝发布ID。请注意，MITER还拒绝向HTBRIDGE发布ID，以获取Oscommerce中的漏洞，其中超过250,000家已部署的商店称其为“范围”，如下所示。https://cve.mitre.org/data/board/archives/2012-05/msg00032.html该线程清楚地表明，就资源而言，编辑委员会没有得到真正的选择，只是选择了最重要的一部分来源。机智：当您考虑这些群体时，请理解我们正在讨论优先级，而不是可行性。可能需要更改CVE的当前实践，以为其中一些来源提供既定的覆盖目标。我们将在以后的电子邮件讨论中解决该问题。我们将给出一些迹象，说明为什么我们认为第二组应在下面部分覆盖。Miter的失败或不愿发行ID并不是“与CVE编辑委员会同意”。我们得到了一些绝对可怕的选择，现在您声称正在执行我们的同意？那完全是在转移责备。接下来，考虑一下我在2016-01-29上通过电子邮件发送了有关潜在的重复作业的电子邮件分配，并在2016-02-02上获得了一种自动重复的作业，不得不在2016-03-02再次戳破米特，以提醒他们这一点有问题的两个供应商是IBM和Apache，均在主要列表上。 Only then did they reply with the details needed to help figure out the confusion in assignment, which is still outstanding (but now squarely looking to be on the shoulders of the researcher, not MITRE or a CNA). Further note that the archives are not updating, magically again, when a negative post about the MITRE process appears. It's getting hard to write this off as coincidence. .b -------- Forwarded Message -------- Subject: RE: Delays with numerous CVE-IDs assignments Date: Thu, 18 Feb 2016 23:01:37 +0000 From: Coffin, Chris  CC: CVE ID Requests  I am very sorry for the delays in responding to these requests. The CVE team is actively working towards providing more timely responses to all CVE-related communications. The MITRE CVE team has started enforcing the scope and coverage requirements previously agreed upon with the CVE Editorial Board, and outlined inhttp://cve.mitre.org/cve/data_sources_product_coverage.html。MITER和CVE编辑委员会几年前就此范围达成了同意，但直到最近才通过拒绝将CVE ID分配给超出范围的产品而生效。我们目前正在与CVE编辑委员会合作，以定义更新的产品列表，以及一个可以及时添加或减去产品的过程，但不知道何时完成。除了已经分配了CVE-ID的指数CMS问题外，列出的咨询会影响我们已发布或开发产品列表中未出现的产品，因此此时将不在范围内。如果您认为这是错误的，并且这些产品应该在CVE范围内，请随时提供理由（即大型安装基础，在许多IT商店中使用等）。如果您确实提供了理由，我们将将产品添加到以后的审查列表中，并可能包含在CVE产品列表中。如果您还有其他问题或疑虑，请不要犹豫，我很乐意为您提供帮助。最好的问候，克里斯·科芬（Chris Coffin）CVE团队Miter Cormanbetx客户端首页poration