(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:CVE的当前状态
- 来:“棺材,克里斯" <ccoffin@mitre.org>,Kurt Seifried <kseifried@redhat.com>
- 主题再保险:CVE的当前状态
- 从:贝弗利芬奇<beverlyfinch@lenovo.com>
- 日期:2017年5月26日,星期五13:59:53 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=没有(发送者的IP 129.83.29.3) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =失败行动=没有header.from = lenovo.com;
- Cc:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 交货日期:2017年5月26日10:29:44星期五
- 在回复:<MWHPR09MB148500311EC3B97AB29C0D83A1FC0@MWHPR09MB1485.namprd09.prod.outlook.com>
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:<MWHPR09MB14852CA28BDB4D4259BDB4CAA1FF0@MWHPR09MB1485.namprd09.prod.outlook.com> <卡诺= Ty0SKo8LKeTwMCgGLuejpsFVexvLgXUvx22fwW4cqykwOw@mail.gmail.com > < 63507 d25ff3f774f9aa912018147f1db01085f8b2f@usmailmbx01 > <MWHPR09MB148500311EC3B97AB29C0D83A1FC0@MWHPR09MB1485.namprd09.prod.outlook.com>
- 发送方:<owner-cve-editorial-board-list@lists.mitre.org>
- Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
- Spamdiagnosticoutput:1:2
- Thread-index:AdLVpPWdEMSTnoAPSeieEtHn052g5gAUWcEAAA0Ia9AADVUQgAAOic0Q
- Thread-topic:CVE的当前状态
|
克里斯,
我更喜欢第二种选择。保持保留并添加STATE_DETAIL状态。 我想不出任何其他细节,但我们应该考虑可能的状态报告要求/统计可能有助于横切或必须在未来。
你提到在谈到分配未赋值的状态。分配一个国家还是保留这是一样吗?
拒绝,如果没有一个定义列表拒绝原因,我鼓励团队定义它们在报道(一致性)。添加“其他”的涵义很广,什么都错过了。一些“断层”需要与每个未来的原因为了是可行的。 拒绝的理由,我认为这意味着CNA CVE从旧单吗?CNA过期池
终于,最后一个问题,相关国家将覆盖前一年未使用cf的失活吗?例如,有人为停用CVE搜索,而不是过期一个被错误分配,然后拒绝。也许停用或过期会工作。我认为有价值的分配状态所以他们不认为它可能在未来出版时间。
问候,
来自:棺材,克里斯(mailto: ccoffin@mitre.org)
库尔特,
这似乎是完全合理的,我喜欢这个主意。别人怎么想?
此外,你和艺术·马尼恩提到了在前一个线程,我们应该扩大保留状态的不同场景。我们同意,认为这将有助于消费者的CVE更好地理解人烟的CVE ID的状态,而不仅仅是将所有标记为保留。有一些选项来实现这个曾指出。
- - - - - -一种选择是保留分割成多个州被艺术。保留将仅用于CVE IDs给CNAs但尚未连着一个漏洞。下一步是创建一个新的国家CVE id是一个漏洞,如分配。 - - - - - -另一个选择是继续保留,但实现STATE_DETAIL,包括各个阶段的CVE ID。库尔特已经在前面提到过的线程。阶段将包括CNA块分配和脆弱性赋值。我不相信会有其他STATE_DETAILS除了这两个,但如果其他人有更多的想法会感兴趣。
克里斯 来自:贝弗利雀(mailto: beverlyfinch@lenovo.com]
我很喜欢这样。有助于调整报告。
问候,
来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
目前我们有“国家”“CVE_data_meta”,我建议我们可以添加STATE_DETAIL STATE_DESCRIPTION,例如:
“状态”:“拒绝”, :“STATE_DETAIL DUPLICATE_ASSIGNMENT” “STATE_DESCRIPTION”:“一切都是谬误”
所以我们必须达成一致的标签STATE_DETAIL然后STATE_DESCRIPTION可以对人类自由形式的解释发生了什么事。
2017年5月25日,星期四,晚上21点,棺材,克里斯<ccoffin@mitre.org>写道: 所有人,
在董事会会议上讨论在5/24,这是当前CVE州以及一些描述(CVE中存在一些常见问题)。的填充和未赋值的,我不认为我们曾经对待这些州在过去,但我认为这样做是有意义的对于这个练习和前进。
未赋值的:CVE从未分配或保留。CVE主列表提供了一个错误消息中有人试图把这个CVE ID。 例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2001 - 10000
保留:CVE标识符(CVE ID)被标记为“保留”一直保留使用CVE编号权威(中央社)或安全研究员,但它还没有填充的细节。
例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2000 - 1253
拒绝:CVE ID列为“拒绝”是一种CVE ID不被接受作为一个CVE ID。CVE ID的原因是明显拒绝通常会说描述的CVE ID。 拒绝的原因(不是一个包容列表): ·重复的作业 ·重复预订 ·在序列或一年重复的错误 ·混合问题或双重使用 ·合并(相同vuln类型/版本) ·撤销中央社(不是vuln) ·CNA过期池 例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8784
争议:当一方不同意另一方当事人主张软件中的一个特定的问题是一个漏洞,CVE ID指定分配给这个问题可能是“争议”。在这些情况下,CVE没有决心,哪个党是正确的。相反,我们记下这一争端的问题,并试图提供任何公开引用,将更好地告诉那些试图理解问题的事实。 例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 8912
填充:CVE条目发表至少一个最少的细节和至少有一个公共的参考。 例子:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2017 - 0002
克里斯棺材 CVE团队
- - -
|
||||||||||||||||||||||||||||
- 跟进:
- 再保险:CVE的当前状态
- 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 再保险:CVE的当前状态
- 来自:“kseifried@redhat.com”< kseifried@redhat.com >
- 再保险:CVE的当前状态
- 引用:
- CVE的当前状态
- 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 再保险:CVE的当前状态
- 来自:Kurt Seifried < kseifried@redhat.com >
- 再保险:CVE的当前状态
- 来自:贝弗利雀< beverlyfinch@lenovo.com >
- 再保险:CVE的当前状态
- 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- CVE的当前状态
- 上一页的日期:再保险:CVE的当前状态
- 下一个按日期:再保险:CVE的当前状态
- 前线程:再保险:CVE的当前状态
- 下一个线程:再保险:CVE的当前状态
- 指数(es):
