CPEはどの程度包括的ですか?
アプリケーション、ハードウェア、およびオペレーティングシステムのリストとして、NISTのCPEはどの程度信頼でき、包括的ですか?それは明らかに私が感謝している膨大な労力ですが、それがどれほど良いかを知る必要があります。
具体的には、メーカーの範囲(特にオープンソースの場合、含めるのは少しオプションのようです)、製品、バージョンの深さ(たとえば、RHEL 6.xサブバージョンはすべてリストされていますが、バージョン5はサブバージョンリストなしで言及されています)、名前(例:Red HatとRedHat)、および通貨(新製品がリストに入るまでの時間はどれくらいですか?)
メーカーや製品のリストがどれだけ包括的であるかを測定または定義するのは難しいようです-さらに包括的なリストに対して何らかの方法でそれを測定する必要があります
ネーミングについては、プロセスがどのように機能するかを詳述したネーミング仕様を作成しました: https://csrc.nist.gov/publications/detail/nistir/7695/final
通貨についても、他のデータソースと比較する必要がありますが、特定の項目をスポットチェックすることもできます。それは非常に頻繁に更新されます-何年も前にさかのぼる多数の更新の一貫したパターンがあります、それはここで見ることができます: https://nvd.nist.gov/products/cpe/statistics