web-dev-qa-db-ja.com

年間10000件以上のケースが発生した場合、セキュリティ関連のWebサイト/ソフトウェア/システム/人間の脳はいくつ壊れますか?

前回 そのような質問がありましたが、 公式の解決策 もありませんでした。現在、私たちはおそらく1年間5桁のCVE番号を使用していますが、(MITREのWebサイトを除いて)実際には見たことがありません。

数が増えると、セキュリティ業界は崩壊して倒れるのでしょうか?

1
billc.cn

業界はnot崩壊します。そのような結果は、業界全体がminds CVE番号を示し、その存在を認めることを意味するためです。これが実現する日は確かに輝かしい日になるでしょう。

4
Thomas Pornin

CVEの番号付けスキームでスペースが不足する場合の解決策は、必要に応じてCVEIDの最後の部分に追加の数字を許可する「新しい形式」に変更することでした。 2013年1月に 入力のリクエスト 新しいフォーマットの選択が出され、同じ年の7月に 決定が発表されました 、そしてポリシー 効果 2014年の初めに。多くのCVEが新しい番号付け形式ですでに公開されています。これは MITREが発表 2015年1月でした。

実際、新しいフォーマットは古いフォーマットとまったく同じです。唯一の違いは、CVE IDを使用するツールを作成する人々は、4桁ではなく、任意の長さの数字(最小長4桁、必要に応じて先行ゼロを使用してパディングする、最大長なし)の可能性に対応する必要があることです。

「新しい」番号付けスキームで発行されたCVEについて詳しく知りたい場合は、CVEデータベースの コピーをダウンロード して、そのようなエントリを自分で検索できます。 CVE IDのリストをExcelにスローし、ダッシュを区切り文字としてText-To-Columnsを実行し、最後の列で9,999より大きい値を検索しました。これにより、「新しいフォーマット」で発行された合計92のCVE識別子が見つかりました。

これがCVEデータに依存するツールやWebサイトにどのように影響するかは、それらのアプリケーションの開発者が対処する必要があります。アプリケーションが変更の影響を受ける場合でも(開発者が最初から識別子の最後の部分に4桁の制限を想定していなかった可能性がある場合)、パッチをリリースするのは作成者の責任です。か否か。影響を受ける可能性のある、または影響を受けない可能性のあるすべてのアプリケーション、およびそれらのパッチステータスまたはパッチ適用の計画をカバーすることは、このサイトの範囲をはるかに超えています。

4
Iszi