(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

2016年3月30日CVE编辑部电话会议总结

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题2016年3月30日:CVE编辑部电话会议总结
从:常见的漏洞和风险敞口<cve@mitre.org>
日期:2016年4月12日星期二19:37:10 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2016年4月12日19:01:59星期二
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:NSPM
Spamdiagnosticoutput:23
Thread-index:AdGU8cWCUrYEXY6PSb2hX / nPG1ujjg = =
Thread-topic2016年3月30日:CVE编辑部电话会议总结

编辑部(EB)见过通过电话会议2016年3月30日17:00时从下午一点到美国东部时间。在

横切CVE团队的成员之外,以下个人出席了电话。

· 肯特Landfield英特尔

· 斯科特•Lawler LP3

· 大卫•Waltermire NIST

· 哈罗德·布斯NIST

· 马克·大卫·麦克劳克林,思科

· 帕斯卡尔•莫尼耶普渡

· 肯•威廉姆斯CA技术

· Kurt Seifried, RedHat

· 马克•考克斯RedHat

· 马尼恩的艺术,CERT / CC

· 汤姆米勒,美国国土安全部(DHS)

EB一致认为,目前所使用的流程支持CVE项目已经过时

并不能满足当前或未来的脆弱性管理状态。有一个

认为项目反应过于迟缓或适应进化的

涉众需求如脆弱性研究者的不断的增长来源

CVE ID请求。

海尔哥哥认为有两类需要解决的问题。有

短期问题与CVE的现状及其问题。也有长期的

问题相关的视觉CVE会在遥远的未来,它将如何

成长和发展以满足利益相关者的需求在未来五年或更长时间。虽然

今天有非常具体的问题需要解决,对CVE流程或任何更改

政策应该考虑将来CVE的愿景。因此,这一愿景需要

尽快被定义。

海尔哥哥也同意之间的平衡与CVE id相关的质量信息

和速度,这些id分配需要评估。直到最近,CVE

团队试图保持一个非常高的标准的准确性和

完整性的信息发表在CVE条目,但这导致了积压

CVE ID请求、任务和出版物。

大量的执委们建议CVE转向“快速失败”范式。

目前,CVE过程发生的变化随着时间的推移,在此期间的问题

改变希望解决继续阻碍CVE利益相关者的工作。承认错误

将和创造过程,可以迅速而廉价地纠正这些错误,CVE吗

可以更快地发展和适应变化的世界。

另一个重要的讨论就是CVE编号当局(CNAs)

可以发挥更大的作用在CVE分配和管理。目前,横切CVE团队

肩膀CVE作业过程的一个重要组成部分,,不能适应

越来越多的CVE任务请求和相关工作所需要的水平

涉众。CNAs可以分享负担的CVE承担额外的任务

赋值的过程。EB计划探索额外角色和任务必须能承担什么

向前发展。同时,海尔哥哥想评估增加新的CNAs的过程

确定更多CNAs可以包含在CVE的过程。

工作之前发生,EB应该意识到还有其他问题

首先得到解决。具体来说,EB将记录所有当前和预计的用例,

会通知预计EB什么等级的品质从CVE条目。一旦质量

定义,具体规则CVE计数(如何确定正确的数量的CVE id

适用于一个漏洞信息披露)可以重新定义。与所有这些记录

CNA操作可以被要求。CNA角色编纂,CVE可以工作

扩大CVE项目通过联盟与其他CVE-like实体或区域

可能会增加数量。

作为“快速失败”概念的一部分,讨论的EB的价值创造实验,

批准项目CVE有关。这方面的一个例子是DWF漏洞编号

系统。EB看看DWF可能会与正式的CVE过程集成等

CVE可以更好地理解特定的用例,DWF(分布式弱点归档)

是为了满足。展望未来,可以开发其他实验项目

音乐会的CVE团队和EB, EB将寻找其他的机会

实验。

斜方试图保持透明度成他们的流程,但方法

和过程用于共享信息没有有效。EB和斜方同意

创建一个GitHub空间来存储公共CVE EB和其他文档和允许

利益相关者合作发展和完善。

这方面的一个例子文档工作是CVE宪章,将修改后的数量

的方式。国土安全部的作用将会更加正式记录,将EB的角色和其他

流程。

海尔哥哥觉得面对面会议将通过许多有用的工作

问题。一旦一些额外的基础和研究是通过EB和斜接,这样一个

会议将安排与远程参与作为一个选项。

行动项目

· 主教法冠将创建一个GitHub网站CVE文档。

o 消息时去编辑部网站是可用的。

· 海尔哥哥将与DWF决定如何最好地集成与CVE DWF。他们会看文档描述格式良好的CVE请求DWF和斜接通知,将提供一个比较过程。

o 主教法冠将安排EB会议每两周举行一次。

· 斜方和国土安全部将提议:

o 国土安全部委托将正式的编辑委员会成员。

o CVE宪章将重组和重写来解决一些问题。

· 马克。大卫。迈克劳林采取一个行动代表思科提供的名字两个思科CVE编辑委员会成员。思科收购Lancope意味着思科目前有三个代表,安迪•Balinsky蒂姆Keanini,离开帕诺斯Kampanakis。麦克劳克林先生被提名接替Kampanakis先生。

· EB将收集一些来自他们的用例EB成员,包括斜方CVE团队,和现在的这些用例的总结在即将到来的会议。

· 主教法冠将调查现有的联邦和出现在模型识别方案,比如ISBN。

附件:CVE_Editorial_Board_Meeting_summary30032016.pdf
描述:CVE_Editorial_Board_Meeting_summary30032016.pdf