Re: CVE申请表是失踪的一个很重要的一点

嗨,克里斯,你的反应会是如果布莱恩说,“公共”2016年12月是脆弱?我得到你的理由/教育在这样特殊的情况下,但他有一个有效的点,需要增强。没有说你不能添加解释如何适当地使用“年”,但很明显的形式需要能够支持这种类型的问题。我们将派遣的想法是建议加强提交表单通过现实世界的经验和这似乎符合这种情况。;-)当然,我们通常只应该看到这种类型的问题后不久的1年但是…就其价值而言。- - -肯特Landfield + 1.817.637.8026 1/5/17, 9:01点,“owner-cve-editorial-board-list@lists.mitre.org代表棺材,克里斯”代表ccoffin@mitre.org < owner-cve-editorial-board-list@lists.mitre.org >写道:今年部分ID不是为了表明当漏洞被发现。一般来说,今年部分翻译的请求,或公开披露。我们解释背后的思考过程在一个oss-security post(引用)几年前[1]。以下是主要的。 "The year portion of a CVE ID typically reflects when the CVE was requested for non-public issues; or for already-public issues, the year portion typically reflects the year of disclosure. The disclosure date itself can be a subject of interpretation, such as when an issue is disclosed at a publicly-accessible URL but only likely to be noticed by a limited audience ("technically public") versus when the issue becomes "widely public" to the infosec industry." We could ask for this data in an optional field, but it might not be used if the requester is unclear on how the year is currently used in CVE. Would this be a problem on your side, i.e., you ask for a specific year but it's assigned something different? Also, What would the specific benefits be to allowing the requester to specify the year? If anyone else has any thoughts or opinions that would differ from this, please let us know. [1]http://seclists.org/oss-sec/2015/q1/46克里斯棺材CVE团队- - - - - - - - - - -从原始信息:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表耶利哥派:周三,04年1月,2017年第3点:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >主题:CVE申请表缺失是一个重要的重要性:高僧帽,当前形式请求CVE ID[1]只有一个框,可以用于此,“附加信息”,但没有提示的问题。错过重要的事情是,当请求一个ID,您应该问的ID。如我昨天要求一个ID为我的日常工作,甚至忘了它在技术上应该是2016年12月问题被发现以来ID。的形式不包括任何问这样一个问题,我没有发生。我相信表单需要添加一个框或下拉和请求这些信息,可能与一行程序的年如何分配工作(即年发现供应商和/或披露,不公开),以更好地跟踪漏洞。。b [1]https://cveform.mitre.org/