CPE有多全面？

Question

作为应用程序、硬件和操作系统的列表，NIST的CPE有多权威和全面？这显然是一项巨大的劳动，我对此表示感谢，但我需要知道它有多好。

具体来说，我想知道制造商的范围(包括似乎有点可选，特别是对于开源)，产品，版本的深度(例如，RHEL6.x子版本都列出，但第5版没有子版本列表)，命名(例如红帽对RedHat)，以及货币(新产品进入名单的速度有多快？

Answer 1

似乎很难衡量或定义制造商或产品的清单有多全面--你需要用更全面的清单来衡量它。

对于命名，他们已经生成了一个命名规范，详细说明了流程的工作方式：https://csrc.nist.gov/publications/detail/nistir/7695/final

对于货币，您同样需要与其他数据源进行比较，但您可以对特定项进行抽查。它非常频繁地更新-有一个一致的模式，大量的更新可以追溯到很多年前，您可以在这里看到：https://nvd.nist.gov/products/cpe/statistics