CVE编辑部电话会议总结——6月2日,2016年

的CVE编辑委员会2016年6月2日通过电话会议。会议集中在CNAs泳道。横切CVE团队的成员也参加了电话。董事会成员参加:

出席者:

肯特Landfield英特尔

哈罗德·布斯NIST

安迪Balinsky,思科

斯科特•Lawler LP3

马尼恩的艺术,必然的事情

戴夫•Waltermire NIST

行动项目从先前的编辑委员会会议综述:

- - - - - - 更新董事会章程和分发给董事会讨论和投票(斜方)

o 合同已经更新,正在内部斜方审查。它很快就会发送到董事会审议。

- - - - - - 发送工作小组征求成员列表(斜方)

o 这也是目前工作。

- - - - - - 发电子邮件向董事会讨论泳道和产品和来源(斜方)

o 这已经完成,今天将讨论。

- - - - - - 开发一个模板提名的董事会成员(斜方)

o 这是在发展和将很快发送。

- - - - - - 看看谷歌视频群聊的可能性来取代Skype(斜方)

o 这可能不是一个可行的选择,因为由于代理设置连接问题。

董事会提出了一些问题关于DWF使用Apache许可的内容。正在经历困难与下游提供信息在公共领域由于不必显式地将Apache许可。

指出,律师在Red Hat和斜接新许可协议和一些细节工作角色和职责的文档。斜方法律会有更新的CVE使用条款,它不久将确保贡献CVE以外的斜方可以发布到CVE列表和下游用户很容易使用。

讨论转向CNA状态和更新。横切是想成为CNAs识别其他实体。厂商和研究机构都有联系关于成为CNAs冠冕,但主要大公司销售计算机硬件和软件

产品在国际的基础。

周围有重要的讨论需要记录和沟通的规则作为一个官方CNA和如果不遵循规则。董事会表示,作为一个正式的规则和要求CNA之前需要定义新的CNAs应该带来的。主教法冠将作为协调和联系现有CNAs通知他们,情况正在改变,他们需要理解和遵守新的规则。指出,其他社区(如医疗设备、工业控制)需要CVE id,但是有不同的模型比这对他们如何管理他们的社区环境。董事会同意,新规则将需要考虑,并提供所需的最终状态,给很多纬度如何做的事情。

需要定义的另一个方面是如何监控这些责任。普遍认为这也落在横切,斜接将担任协调人要求和跟踪问题。个人董事会成员不应接触CNAs代表CVE关于坚持规则或质量统计数据。

的讨论转向定义泳道CVE ID请求为了发展当前泳道这样描述文档可以公开给社区。

- - - - - - 为特定vendor-related漏洞,厂商是一个中央社,然后研究者应该联系特定的供应商依照他们的记录CVE ID请求过程。

- - - - - - ICS-CERT可以处理某些工业控制系统CVE ID请求依照他们的过程。

- - - - - - CERT-CC, CVE id分配CERT-CC协调事件;技术不一样重要条件的情况下(例如,多个供应商,当研究人员和供应商不相处,关键基础设施)。

- - - - - - JPCERT IDs / CC问题CVE漏洞报告通过“信息安全预警伙伴关系”(http://jvn.jp/en/nav/jvn.html)。

- - - - - - 斜方提供覆盖一组定义的产品和资源,也可以作为最后的中央社,和产品不受其他CNAs分配id。

董事会也开始形式化的定义基于现有CNAs CNA类别。这些类别可能是产品供应商(如苹果、思科),协调中心(例如,ISC-CERT JPCERT / CC),和根CNAs (DWF-type实体)。类别将被设计为任何工作领域,不仅它。CNA类别将基于任务是如何完成的,组织的范围。

指出,在横切的术语的一个挑战是,服务于多个角色——CNA最后的冠冕,协调员,出版商的CVE的官方名单。

操作项:

- - - - - - 写一个草稿CNA需求讨论了基于马尼恩(艺术)

- - - - - - 基于讨论和完善泳道文档分发给董事会审议(斜方)

- - - - - - 马尼恩更新CERT-CC游泳巷描述(艺术)

出色的操作项:

- - - - - - 董事会提名的模板(斜方;在进行中)

- - - - - - 董事会章程(斜方;在进行中)

下一个编辑委员会会议将于6月16日举行。

附件:CVE_Editorial_Board_Meeting_summary_20160602.pdf
描述:CVE_Editorial_Board_Meeting_summary_20160602.pdf