再保险:杜松添加到官方列表区域

在星期一,2016年4月25日上午6:15,Kurt Seifried<kseifrie@redhat.com>写道:

我建议少是投票本身,更多的思考
担忧,

我发现它是关于。然而,主要关注关于投票并不是Juniper投票本身,因为它是关于未来的优先级可以集票通常在董事会电话与历来使用的私人列表相当成功。

例如与杜松一些合法的问题

事实上一些非常合法的问题。

但总的来说每个人(至少我的印象)
“这不是100%完美。这不是一个显示制动器,机会
能解决的问题,没有太多麻烦。”As
证明如果大部分董事会(或一致的多数席位
参加)然后投票肯定的说,我认为这是安全的
它不可以进行材料问题。

逻辑的缺陷是,它假定我们大致具有相同的知识对一个给定的问题,绝大多数是最聪明的。专家们很少占大多数。我们每个人都有不同的背景和不同样聪明的各领域。

布莱恩没有表达了他的担忧,我敢打赌没有人别的董事会甚至会知道今天Juniper分配时挣扎CVE标识符。虽然布莱恩有机会表达他的关切,并提供一些细节,我怀疑还有人真正理解程度除了他(也可能是斜方根据他提供多少细节off-list)。自然,这是董事会成员的责任表达担忧提供足够的细节让我们做出明智的决定,但在这种情况下似乎没有真正试图进一步探索如何坏之前投票。

没有参加的人打电话,只有列表讨论形成意见,好像遇到布莱恩的担忧是或多或少地抛弃,而斜方和董事会成员都更渴望得到另一个CNA机载和花时间充分探索担忧。为什么这么着急?因为它是重要的横切显示他们在CNA方面取得进展,这是明显的从他们最初的电子邮件通知。

如果董事会成员与给定的重要洞察CVE分配实行供应商声音担忧,似乎谨慎全面调查表示担忧,并至少提高供应商和得到一个承诺说供应商解决这些_before_允许他们成为中央社。相反,我的经验我能最佳描述为自由放任的态度:我们只要让他们CNA因为没有人(除了布莱恩·马丁,谁不是在调用)“强烈反对”,任何问题都有可能“可控的问题”,希望文档/培训可以解决在未来。

现在有什么计划跟进与杜松说问题纠正?

我们需要更多的必须,但如果他们不懂基本的CVE作业,它可能比价值更麻烦。我们已经看到许多区域不遵循CVE抽象指南没有斜方做过这件事。另外,我们需要定义我们关心CVE合规的水平。更重要的是有很多区域分配cf问题与CVE抽象的指导方针后,然后就应该被视为粗糙的指针?这可能是董事会讨论的问题。就我个人而言,我发现抽象准则是原因,至少是公平的期望CNA完全熟悉并遵守它们。

我认为有
一半的董事会投票反对斜方可能需要第二次看问题
在继续之前

我不太确定。决定让Juniper CNA似乎几乎完成了从最初的声明,这只是表示,Juniper遇到所有的需求,公告将于当天下午出去。后续邮件从斜方表示,私人的足智多谋的列表提供了“礼貌”。虽然有理由说礼貌是允许董事会成员提高“重大问题”命名Juniper CNA,董事会只是几个小时,所以斜方显然没想到推回。此外,第一次没在邮件通知表明斜方实际上是寻找委员会反馈。

我没有问题与斜方没有董事会投票决定谁成为必须。方法适合我,我当然不提倡,我们需要投票决定一切。

然而,我确实认为董事会需要知道CNA的需求是什么。问题当斜方只是声明,一个给定的供应商“遭到了所有的要求”当我们尚不清楚这些是什么。更当有争议的董事会成员。我曾与斜方当Secunia成为CNA很多年前(状态后再我离开他们输了),所以我知道要求问我/我们。先生(ex) CVE aka史蒂夫Christey让我受到打击。根据布莱恩的反馈,Juniper当然没见过所有这些要求如果不变。

最后,我知道布莱恩通知斜接一些作业问题Juniper之前调用。使它更重要的是让我们了解当前CNA指南,斜接是如何确保他们被跟踪,和这样的分配问题得到解决之前,创建一个新的中央社。否则,它可能会导致一系列的问题。斜方讨论杜松的潜在CNA状态时的担忧是由布莱恩?我知道库尔特·布莱恩的担忧在电话提到的,但斜方还特别提出详细的方式问题,确保董事会成员不熟悉Juniper CVE的作业可能因素?

(就像DWF提议,如果我不能
说服大多数人来说这是一个好主意,然后有一个好机会
不是一个好主意)。

我按照你说的,我又不订阅“多数知道最好的”。我宁愿听几个人,谁知道他们在说什么和得到绝大多数的无知的想法。尤其是作为一个社区主导型项目,大多数人有各种各样的议程,可能表达爱贡献的想法没有任何意图或见解才能成为成功者。