CVE编辑部电话会议总结——5月5日,2016年

CVE编辑部满足通过电话会议在5月5日,2016年。横切CVE团队的成员也参加了电话。董事会成员参加:

- - - - - - 安迪Balinksy,思科

- - - - - - 哈罗德·布斯NIST

- - - - - - TK Keanini,思科

- - - - - - 肯特Landfield英特尔

- - - - - - us - cert汤姆•米勒

- - - - - - Kurt Seifried,红色的帽子

- - - - - - 戴夫•Waltermire NIST

第一项议程是给一个更新的操作项前面的编辑委员会会议。

斜方目前正在与他们的法律部门有关知识产权(IPR)在CVE内容。斜方的立场是为了避免很多许可证通过下游的消费者将不得不保持遵守它们。斜方提出更新现有的CVE的使用条款,即任何人都可以使用CVE内容和这是免费的,覆盖任何CVE的贡献。目的是鼓励捐款和确保CVE下游用户列表。重要的是要清楚斜方不是以任何方式主张知识产权;相反,我们关心的是贡献内容,维护知识产权,这可能会影响每个消费者的内容。引发这个问题的例子是Apache许可下所有DWF数据覆盖。斜方采取了行动,咨询他们的法律部门允许广泛,分布在CVE数据库,使用Apache许可来提取数据,可能导致的任何知识产权的影响。

第二个行动项目是站立的状态DWF CNA的第一阶段。第一阶段,DWF将作为一个传统的中央社,这将有助于满足安全研究员社区的需要。DWF-issued CVE ID都是在一百万年的CVE ID空间。有一个技术实现会议上周DWF。大部分的代码已经组装进口代码;一些额外的修改仍需补充道。

在这第一阶段期间,横切不会写CVE描述与DWF-issued CVE漏洞id。DWF将分配cf,马克作为分配,如果漏洞公众——其标记为公共。从那里,DWF的cf将被添加到数据库,将尽可能更新。主教法冠将摄取DWF-issued CVE id到CVE列表和它们标记为“保留。“第一阶段将包含成百上千的条目有或没有描述;斜方无法合并CVE描述DWF直到这个时候写的合法性,如知识产权和许可。一旦斜方法律给予批准由DWF摄取描述,这些描述将被包含在CVE列表中。

文档需要开发阶段1和阶段2 - sla,期望,行为,最佳实践,泳道。物品,如发行CVE IDs back-stream DWF, cf的初始DWF作业,和sla要求足够的数据来创建足够的描述需要被记录下来。下一步将是为自己的产品创造sub-CNAs是CNAs(阶段2)。

下一个行动项目是建立一个协调与英特尔PSIRT的电话。这次会议定于5月6日,横切后将有一个更新。

下一个行动项目是更新文档我们想给新区域和协调那些DWF文档,过程。至于CVE ID块的影响,横切预见任何问题与现有的基础设施。

最后一个行动项目是调查只在GitHub cf读/移动,和这个项目仍然突出。

讨论了CVE范围,讨论议事日程上的下一项。CVE需要开始范围更有针对性的产品和资源比过去。源记录在过去比实践中使用的范围更为有限。CVE必须可靠、一致的信息来源。改善CNA流程会有所帮助。

CVE的总体目标是有一个更大的范围和最大化CVE覆盖率超出横切。适当的机构,例如直接督导下的(如汽车、航空),需要教育和加入产品中的漏洞。长远的目标是让更多的必须负责自己的产品。始终将通过CNA规则和斜接在CNA监督作用(协调、文档等)。

文档和培训需要建立建议必须要做什么和什么时候去做。所以没有泳道需要存在交叉或尽可能少的交叉。将提供一个联系人列表来确定在哪里以及如何引用ID请求者。斜方需要与供应商建立一个推广计划,尤其是大型供应商,不是必须。

CVE需要确定如何解决供应商不必须和不公开漏洞信息,即使研究人员报告漏洞信息关于他们的产品。例如,在SAP人员发布漏洞,他们发现,他们往往不会要求CVE id。SAP不公开漏洞信息。横切web scraper监控公共脆弱性来源和找到这些SAP漏洞。斜接然后分配CVE IDs包含他们到CVE列表。主教法冠已经联系了SAP CNA和SAP没有表示出了兴趣。提议的解决方案是把这些供应商通知,不再分配CVE id冠冕,为他们提供一块CVE id,和指令如何分配它们。资源是有限的,如果客户不要求CVE支持什么,然后CVE不会提供支持。如果消费者开始要求CVE id特定供应商,供应商将需要发行CVE id。

斜方将继续工作的范围和定义产品和资源列表,将继续使用这些过滤器cve-assign覆盖。定期更新的产品和资源来应对市场的变化。

斜方提供描述所有的CVE id分配。斜方利用这些描述来帮助确定CVE ID已经分配给一个漏洞。如果CVE已经存在,那么现有的CVE更新新的引用和/或细节。其他组织使用这些描述来加速他们的分析过程和危险得分。

DWF将调查自动化创建CVE描述。DWF会有严格的格式良好的数据条目和各种层次的社区。目标是达到一个临界点的描述可以自动生成和存在价值的当前使用情况没有诋毁或减少看着cf的质量。

交流需求行业前进的一种方式,和需要一个实践社区在这个问题上。主教法冠将研究非政府和non-MITRE平台站起来漏洞报告实务社群。与此同时,将会有一个大的依赖DWF船上人员,确定一个格式良好的请求是什么,哪些信息是必需的,和一个ID字段是必需的。

斜方发布到GitHub站点当前建议指南格式良好的请求,并将邮件发送到编辑部的邮件列表讨论。DWF文档将被张贴到编委会名单所以人们可以开始复习与斜方和关联文档。

最后讨论围绕斜方站着小工作组的编辑委员会的地区可能是有益的。正是先前建立一个工作小组将建立联合CNA的结构程序所需的过程,等。还会有一个工作组在提交CVE ID请求的正确方法,与未来的讨论什么是格式良好的。也需要有一个泳道的讨论,一个漏洞本体或分类讨论,站着和子群实践社区的脆弱性报告。

操作项:

- - - - - - 加快DWF飞行员与法律(有些依赖于DWF的文档)(斜方)

- - - - - - 看看游泳巷文档和产品和资源列表(斜方)

- - - - - - 创建一个邮件列表的漏洞报告实务社群(斜方)

- - - - - - 整合一个董事会讨论的子组列表(泳道联盟、社区实践中,和分类)(斜方)

下一次编委会会议将于5月19日下午2 - 4点10点。

附件:CVE_Editorial_Board_Meeting_summary_20160505.pdf
描述:CVE_Editorial_Board_Meeting_summary_20160505.pdf