主要观点：

• 讨论了 CVE 系统中的战略模糊性及其对漏洞报告、分类等方面的影响。
• 认为最初对 CVE 系统目的的理解有误，其标识更多是稳定标识符，责任在于各方。
• 提出应对战略模糊性的方法，如 Linux 的新 CNA 程序通过强制披露来改变现状。

关键信息：

• 约 15 个月前发布关于漏洞分类生态中激励失调的帖子，后有更多思考。
• CVE 系统有多种理解，一种是仅为稳定标识符，能简化维护等，但在 2024 年对作者来说已意义不大。
• 责任被分为三方面，包括安全源限制低价值漏洞类别、软件供应链公司改善参与等，且这些责任在过去一年有成效。
• Linux 的新 CNA 程序通过为大多数补丁分配 CVE 迫使安全供应商走出模糊状态，虽带来问题但有改善可能。

重要细节：

• 提到 ReDoS 漏洞及相关低影响高噪声类别。
• 指出 CVE 系统维护机制存在问题，如 CVEs 难以有意义地争论等。
• 说明安全研究人员如今所需保护与过去不同。
• 强调 CVE 系统参与者对模糊性的态度及背后原因。