[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的
=?windows-1252?q?editorial_board_teleconference_ = 96_january_8,_2013?= =
- 到:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 主题:=?windows-1252?q?editorial_board_teleconference_ = 96_january_8,_2013?=
- 从:“埃文斯,乔纳森·L。”<jevans@mitre.org>
- 日期:THU,2013年2月21日08:50:40 -0500
- 接受语言:en-us
- 交货日期:THU 2013年2月21日08:53:38
- 列表助手:<mailto:listserv@lists.mitre.org?body = info%20cve-editorial-board列表>
- 列表所有者:<mailto:cve-editorial-board-list-request@lists.mitre.org>
- 列表订阅:<mailto:cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
- list-unsubscribe:<mailto:cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
- 发件人:<所有者cve-editorial-board-list@lists.mitre.org>
- 线程索引:ac4QOMDED3OZ2IUOQBKY+DDF37EFZG ==
- 线主题:=?windows-1252?q?editorial_board_teleconference_ = 96_january_8,_2013?=
|
编辑委员会电话会议�2013年1月8日 ===========================================
参与者
思科安迪·巴林斯基(Andy Balinsky) 肯特·兰德菲尔德(Kent Landfield),麦卡菲 哈罗德·布斯(Harold Booth),尼斯 亚当·肖斯塔克(Adam Shostack),微软 Art Manion,CERT/CC 肯·威廉姆斯,加利福尼亚
第一个京都峰会
由JPCERT-CC / IPA主持的GVR峰会讨论是在 第一座技术座谈会,于11月13日至15日举行。 座谈会和GVR峰会获得了良好的出席。哈罗德·布斯(Harold Booth),肯特·兰德菲尔德(Kent Landfield), 史蒂夫·克里斯蒂(Steve Christey)出席了会议。
一些演讲和讨论仅限于首先。
主要要点 *参与GVR讨论是值得的。 *国际讨论才刚刚开始。 *对CVE作为解决方案的关注并不重要。 *地区之间的发展有很大差异。 *披露惯例在整个市场上肯定有所不同。 *语言障碍可能是一个挑战。 *区域漏洞可以具有全球影响。 *新的第一个信号将继续工作。
第一天
第一天审查了脆弱性报告的历史和现状。几个 董事会成员今天进行了会谈。哈罗德·布斯(Harold Booth)开始了概述 当前的报告格局以及NVD如何处理漏洞报告。
肯特·兰德菲尔德(Kent Landfield)对当前脆弱性报告的现状表示了看法。肯特 强调的是,无需参考每个人都能理解的脆弱性, 供应商很难识别和整合漏洞 产品。许多区域没有识别系统,或者它们在哪里,通常是不成熟的。 供应商一直专注于CVE,主要关注英语世界。 当供应商不了解报告时,他们无法帮助验证和关联 首先是脆弱性。
史蒂夫·克里斯蒂(Steve Christey)的演讲经历了CVE的历史以及从经营 项目。史蒂夫强调,CVE不是GVR讨论的解决方案 该领域的经验可以帮助避免CVE确定的一些陷阱。史蒂夫讨论了 内容决策的演变和导致变化的困难。史蒂夫 解释了CVE的内容决策如何反映其作为协调员的使命。决定原因
CVE要以咨询和特定错误之间的某个方式编写,并不完美 对于任何特定组,但对于大多数人来说都足够好。
第2天
第2天由日本人(IPA,JPCERT/CC),韩国人(Krcert/CC,Kisa)和Thais占用 (Thaicert),讨论了他们的脆弱性处理和报告实践。每个 证明了脆弱性报告实践的因素如何因地区而异。他们俩 日本人 演示文稿详细描述了JPCERT的CVE采用过程及其当前 脆弱性ID实践。JPCERT向他们发行了几个标识符 处理。
Soranun Jiwasurat(Thaicert)的大部分演讲都仅限于第一成员,但 它确实促使了CVE-2012-6498的创建,这证明了当地漏洞如何 具有全球影响。CVE-2012-6498用于在Atomymaxsite中无限制的文件上传,一个 基于泰国的CMS。阿拉伯语中漏洞利用的演示已上传到YouTube,并成为 积极利用。这促使Thaicert创建了咨询 (http://thaicert.or.th/alerts/admin/2012/al2012ad025.html)。
Hongsoon Jung(Krcert/CC,Kisa)在他的 演示文稿,也受到限制。三个不同的韩国政府组织是 列为处理漏洞信息:韩国通信委员会下的KISA 对于私营部门,国家情报局(国家网络安全中心) 公共部门,国防部(国家网络指挥与控制中心) 军队。韩国法律,第47-4条,要求供应商两次通知用户 月。发布网站的出版是足够的通知。KRCERT/CC私下处理 供应商但没有将漏洞发布到其网站上。Kisa为 主要的国际产品,但没有发布技术细节。Kisa(Krcert/CC)有一个 简单的漏洞报告过程。他们确认问题并与供应商进行协调。
2012年10月,他们实施了一个似乎取得成功的奖励计划。
第三天
第三天的重点是构建全球脆弱性报告的问题,讨论 最佳实践和可能的解决方案。这些讨论的参与少于 想要的。提出了一些原因,例如语言障碍或参与者的原因 这个问题太新了。建议通过电子邮件找到更多的参与 由于成员将有时间处理和撰写响应。我们需要注意 此类事件的此类问题。
第3天有两个项目,一个GVR分享思维映射和创建漏洞的计划 报告和数据交换(VRDX)第一特别兴趣组(SIG)。思维图 捕获了GVR讨论的许多常见概念和讨论点。肯特 兰德菲尔德(Landfield)于2013年1月18日将思维图发送给董事会。 Masato Terada(IPA)和Art Manion(CERT/CC)。SIG仍在信息收集中 和计划阶段。关于GVR问题的进一步对话将通过SIG进行,并且 CVE团队将保留编辑委员会的发展。
CVE ID语法更改更新
史蒂夫·克里斯蒂(Steve Christey)宣布,CVE团队将根据董事会的降低选择 建议选项的反馈。然后将公开呼吁有关 选定选项。CVE团队将在CVE宣布上宣布公开呼吁,确定 以安全性为中心的邮件列表和CNA。肯特·兰德菲尔德(Kent Landfield)提议CVE应该 直接联系工具供应商,史蒂夫同意。公开评论后,那里 将是正式的编辑委员会投票,此时将选择正式选择。 在RSA附近是做出最终决定的目标时间。我们尚未达到 讨论过渡策略的重点。 |
