<div dir="ltr">Folks,<div><br></div><div>In the current DHO there are 3 fields related to malware hash ('<b>malware.hash</b>', '<b>malware.hash.md5</b>' and '<b>malware.hash.sha1</b>') but one of them ('<b>malware.hash</b>') is not compliant with the current internal message structure (technical details can be found on the <a href="https://github.com/certtools/intelmq/issues/732#issuecomment-269602721">issue 732</a>).</div><div><div><br></div><div>Since it's a bug that needs to be fixed and affects the DHO, I would like to propose the only three approaches that I see (maybe there are more...) to solve this issue and would like to have your feedback to achieve an agreement.</div><div><br></div><div><b>Approaches</b><b>:</b></div><div><u><br></u></div><div>1. Rename the key 'malware.hash' to something like 'malware.hash.other' for situations where we see a feed providing a different type of hash<br></div><div>2. Remove the key 'malware.hash' and keep with the other two ones<br></div><div>3. Remove the keys 'malware.hash.md5' and 'malware.hash.sha1' and only use the key 'malware.hash' for all types of hash. With this approach, if the feed provides a md5 and sha1 hashes in the same event, we will not be able to store both.</div><div><br></div><div>The chosen approach is the first one. If you have chance, please take some minutes to give your feedback in order to understand if everyone is comfortable with that.</div><div><br></div><div>Thank you in advance.</div><div><br></div><div>Cheers!</div><div><br></div>-- <br><div class="gmail_signature"> Tomás Lima<b> ,    </b> »-«<b> SYNchroACK </b>»-«<br></div>
</div></div>