CVE编辑部电话会议总结——2016年4月21日

CVE编辑部满足通过电话会议4月21日,2016年。横切CVE团队的成员也参加了电话。

董事会成员参加:

· 安迪Balinsky,思科

· 哈罗德·布斯NIST

· 肯特Landfield英特尔

· 斯科特•Lawler LP3

· 马尼恩的艺术,CERT / CC

· 莫尼耶帕斯卡,出现/普渡大学

· 迈克·普罗塞赛门铁克

· Kurt Seifried,红色的帽子

· 戴夫•Waltermire NIST

· 肯•威廉姆斯CA技术

第一个议程讨论简化计算测试是通过CNA飞行员。一个简化的计算文档被送到董事会名单在3月28日。简化计算的目的是简化的计算分配CVE漏洞和id来提高操作和效率并使必须遵循的过程。对质量有负面影响;因此,需要做一个测试之前移到普通CVE生产。

简化计算包括因为模型。CVE id将会在这种情况下,研究人员发现一个缺陷或设计监督软件,即使它可能不会被视为一个漏洞的供应商。研究人员可能会被要求提供的证据证明负面影响,比如一个例子/场景的缺陷是可利用的。

CNA CVE将使英特尔。简化计算的文档可以作为与英特尔培训过程的一部分。的性质和大小的漏洞英特尔将让CVE团队看到什么可行,什么不工作在标准的测试环境。电话将建立与英特尔的产品安全事件响应团队(PSIRT)联系人解释这并确保他们完全理解,让测试更平稳。

讨论转向第二个议程,DWF CNA的建议。这个提议是让DWF CNA创建和培训下属必须。DWF sub-CNAs它创建将使用当前计数标准分配CVE id。sub-CNAs DWF内操作的CVE ID分配块。DWF的sub-CNAs需要受过教育的基础设施,范围,等。术语和文档需要建立层次结构和层次结构的过程。下游影响将被评估。目标是CVE规模,得到更多更快的cf,确定联合模型的有效性。

通过GitHub DWF运行实时透明。DWF有一个简单的数据库条目。DWF需要研究人员提供一个工件的一个漏洞,如源代码和研究,在放入DWF数据库条目。工件和其他明确的信息保存在另一个数据库。所有DWF阿帕奇协议数据。斜方需要咨询他们的法律部门允许广泛,分布在使用Apache许可的CVE语料库和拉入数据,和潜在的知识产权(IPR)问题。这个计划是让CNA过程前进DWF下周正式。

公共可用的正式承认必须列表,并将维护CVE网站上直接CVE ID请求提交。一个私人的个人联系信息列表也将维持CNA关系管理和社区服务。文件将被创建在两个阶段:

· 阶段1:DWF CNA经典

· 阶段2:Sub-CNA层次结构和规则

定性测量最重要的现在,斜方和社区。斜方需要一个更好的更广泛的CVE DWF CNA以外的操作。定性的测量将会考虑,比如如果投诉减少,产生的cf DWF CNA下游工作,还是人们寻求替代CVE。定量测量也可能:GitHub提供的监控指标,计算有多少id分配,并确定平均响应时间分配请求。进展将讨论通过编辑部电话每隔一周。

CVE编辑部的邮件列表被讨论,关注私人编辑部的邮件列表。私人清单的目的是,如果某人的帖子到私人列表,电子邮件仍然是私有的。有些场合,董事会需要私人谈话(例如,新的董事会成员,ID语法变化)。

决定保留私人列表和维持原来的意图。电子邮件发布到私人列表时,它应该包括一个原因邮件被发布到私人帮助消除困惑在消息列表。如果董事会成员觉得需要搬到一个话题公众编辑部的邮件列表,礼貌的询问其他董事会成员将得到。

操作项:

· 调查与斜方知识产权法律(斜方)

· 确定合理的指导方针对另一些人来说,Apache或其他可接受的通用许可证的使用cf和内容(斜方和DWF)

· 站起来第一阶段DWF CNA下周(斜方和DWF)

· 设置英特尔PSIRT协调要求CVE发行,计数实验(斜方)

· 确定一组文档斜方愿意给新CNAs(标题+一个句子的抽象)(斜方)

· 调和横切/ DWF文件(斜方和DWF)

· 看着CVE ID块的影响;建立集成工作会话(斜方)

· 研究移动cf读/只在github.com(斜方)

下一个编辑委员会会议将于5月5日,2016年。

附件:CVE_Editorial_Board_Meeting_summary_20160421.pdf
描述:CVE_Editorial_Board_Meeting_summary_20160421.pdf