Gli identificativi CVE (a.k.a.ID CVE) sono utilizzati per identificare univocamente una particolare vulnerabilità. Li abbiamo visti tutti su vari bollettini e sono utili quando si ricerca un problema. Ma come vengono assegnati? Quale processo è coinvolto nell'ottenere un ID CVE per un bug e come si integra il venditore con quel processo? Qualcuno può chiedere un ID CVE per un capriccio, o sono necessarie alcune prove o dettagli?