年間10000件以上のケースが発生した場合、セキュリティ関連のWebサイト/ソフトウェア/システム/人間の脳はいくつ壊れますか？

CVEの番号付けスキームでスペースが不足する場合の解決策は、必要に応じてCVEIDの最後の部分に追加の数字を許可する「新しい形式」に変更することでした。 2013年1月に 入力のリクエスト 新しいフォーマットの選択が出され、同じ年の7月に 決定が発表されました 、そしてポリシー 効果 2014年の初めに。多くのCVEが新しい番号付け形式ですでに公開されています。これは MITREが発表 2015年1月でした。

実際、新しいフォーマットは古いフォーマットとまったく同じです。唯一の違いは、CVE IDを使用するツールを作成する人々は、4桁ではなく、任意の長さの数字（最小長4桁、必要に応じて先行ゼロを使用してパディングする、最大長なし）の可能性に対応する必要があることです。

「新しい」番号付けスキームで発行されたCVEについて詳しく知りたい場合は、CVEデータベースの コピーをダウンロード して、そのようなエントリを自分で検索できます。 CVE IDのリストをExcelにスローし、ダッシュを区切り文字としてText-To-Columnsを実行し、最後の列で9,999より大きい値を検索しました。これにより、「新しいフォーマット」で発行された合計92のCVE識別子が見つかりました。

これがCVEデータに依存するツールやWebサイトにどのように影響するかは、それらのアプリケーションの開発者が対処する必要があります。アプリケーションが変更の影響を受ける場合でも（開発者が最初から識別子の最後の部分に4桁の制限を想定していなかった可能性がある場合）、パッチをリリースするのは作成者の責任です。か否か。影響を受ける可能性のある、または影響を受けない可能性のあるすべてのアプリケーション、およびそれらのパッチステータスまたはパッチ適用の計画をカバーすることは、このサイトの範囲をはるかに超えています。