Re: CVE申请表是失踪的一个很重要的一点

问我打破的东西?太酷了!我有乐趣。;-)调用——Kent Landfield + 1.817.637.8026 1/5/17, 45点,“Levendis,克里斯”< clevendis@mitre.org >写道:对更广泛的角度修改表单,我们一直在收集需求自形式实现为改进的基础。问题是许多合法的问题之一。我建议横切清理这些与董事会作为进一步讨论的基础。理想情况下,我们使用DWF开发相同的形式(我认为这是合理的),然后把这个共同理解(或双方存在分歧的领域,我不期待)向董事会审查和评论。形式是有效的但它可以更有效的收集更多的信息和解释如何提供信息,和董事会输入欢迎和期望。可能是有限度的我们尽量收集但我不认为我们已经达到了极限。一旦我们有一个很好的版本2发达,也许感兴趣的董事会成员可以试着把它:-)C ___________________克里斯Levendis横切国土安全系统工程和发展研究所(HS基准)(横切)703-983-2801(细胞)703-983-2801mailto: clevendis@mitre.org来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org)代表安迪Balinsky (Balinsky)发送:周四,1月5日2017不必点到:Landfield,肯特B < kent.b.landfield@intel.com > Cc:棺材里,克里斯< ccoffin@mitre.org >;耶利哥< jericho@attrition.org >;cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >主题:Re: CVE申请表是缺失的一个重要的早期,CVE背后的基本原理是,它本来就不该是一个数据库,一个索引。因此,例如,CVE引用的列表,或描述的意图从来就佳能或脆弱性的最全面的描述。这并不是意味着所有信息的存储库相关的脆弱。然而,空间意味着CVE漏洞信息的状态是最好的集中式的信息来源,因此人们开始使用它作为各种用途的数据库包括统计。现在有更好的DBs, NVD等添加额外的信息。因此,我认为今年真的是方便,所以你不只是从1开始,到无穷。你可以每年一月计数器重置为零。我的观点是,今年的CVE不应该是一个主要的数据项,它不重要,如果是2016或2017年12月vuln。 But that said, I don't really care if steps are taken to let the requester request the year either. As I said, I don't think it is very important. That's my opinion. Andy On Jan 5, 2017, at 9:21 AM, Landfield, Kent B <mailto: kent.b.landfield@intel.com>写道:嗨,克里斯,你的反应会是如果布莱恩说,“公共”2016年12月是脆弱?我得到你的理由/教育在这样特殊的情况下,但他有一个有效的点,需要增强。没有说你不能添加解释如何适当地使用“年”,但很明显的形式需要能够支持这种类型的问题。我们将派遣的想法是建议加强提交表单通过现实世界的经验和这似乎符合这种情况。;-)当然,我们通常只应该看到这种类型的问题后不久的1年但是…就其价值而言。- - -肯特Landfield + 1.817.637.8026 1/5/17, 9:01点。”mailto: owner-cve-editorial-board-list@lists.mitre.org代表棺材,克里斯" <mailto: owner-cve-editorial-board-list@lists.mitre.org代表mailto: ccoffin@mitre.org>写道:今年的ID不是为了表明当漏洞被发现。一般来说,今年部分翻译的请求,或公开披露。我们解释背后的思考过程在一个oss-security post(引用)几年前[1]。以下是主要的。“今年部分CVE ID通常反映了CVE时要求非公有制问题;或者已经公开问题,信息披露的部分通常反映了去年同期。披露日期本身可以解释的主题,比如当一个问题被披露在公共URL只可能会注意到一个有限的观众(“公共技术”)与当问题变成了“广泛公众”的信息安全行业。”We could ask for this data in an optional field, but it might not be used if the requester is unclear on how the year is currently used in CVE. Would this be a problem on your side, i.e., you ask for a specific year but it's assigned something different? Also, What would the specific benefits be to allowing the requester to specify the year? If anyone else has any thoughts or opinions that would differ from this, please let us know. [1]http://seclists.org/oss-sec/2015/q1/46克里斯棺材CVE团队- - - - - - - - - - -从原始信息:mailto: owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org代表耶利哥派:周三,04年1月,2017第3点:cve-editorial-board-list <mailto: cve-editorial-board-list@lists.mitre.org>主题:CVE申请表缺失是一个重要的重要性:高僧帽,当前形式请求CVE ID[1]只有一个框,可以用于此,“附加信息”,但没有提示的问题。错过重要的事情是,当请求一个ID,您应该问的ID。如我昨天要求一个ID为我的日常工作,甚至忘了它在技术上应该是2016年12月问题被发现以来ID。的形式不包括任何问这样一个问题,我没有发生。我相信表单需要添加一个框或下拉和请求这些信息,可能与一行程序的年如何分配工作(即年发现供应商和/或披露,不公开),以更好地跟踪漏洞。。b [1]https://cveform.mitre.org/安迪Balinskymailto: balinsky@cisco.com