再保险:澄清/声明最近CVE抽象政策变化等等

星期一,2017年3月6日,棺材,克里斯写道::改变以前与CVE委员会讨论。还要注意:这些例子包括一个是由请求者的描述:通过CVE web表单并提交。使用requester-provided:描述是我们的整体战略的一部分规模CVE:计划。我认为CVE条目应该有一个标志的方法,所以,消费者知道这不是写的横切,不得满足斜接的历史标准。这将是一个简单的过程,基本上一个复选框,视觉标记方法。:第一个问题是奇怪的,似乎有人匆忙,:>但这是有问题的网站使用CVE数据生成统计数据,如:>前产品名称可能不匹配条目::虽然这些例子通常不是常态,斜方并未尝试:标准化产品的名字。我们一直期望那些建立在然而,横切所做的一份好工作正常化产品描述历史。=):>我也注意到,谁让最近条目不包括明显的修复提交bug中引用的门票。::斜方的政策不需要包括修复提交,甚至:虽然我们已经在之前的情况。同样,如果另一个参考:可以轻松地通过一个已经包含我们可以跳过前。 Policy maybe not, but given the excessively detailed replies to some issues on oss-sec in the past, and digging into the commit to the tune of 30 minutes of coding/vuln analysis becomes quite the contrast to "didn't link the fixing commit that was in the bug entry linked". : > An apparent change in abstraction rule where five IDs were assigned : > for XSS issues that previously would have received one ID (e.g. : > CVE-2017-6487, CVE-2017-6488, CVE-2017-6489, CVE-2017-6490, and : > CVE-2017-6491) : : In this case the requester provided separate reports that appeared to be : independently fixable. The change to split by independently fixable : vulnerabilities rather than vulnerability type was enacted with the new : CNA Rules. Interesting, thanks. .b