(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

CVE编辑部电话会议总结——2016年6月30日

CVE编辑委员会会议

2016年6月30日,美国东部时间下午两点

的CVE编辑委员会2016年6月30日通过电话会议。会议集中在章程修订和CVE计数规则。横切CVE团队的成员也参加了电话。董事会成员参加:

出席者:

肯特Landfield英特尔

哈罗德·布斯NIST

安迪Balinsky,思科

斯科特•Lawler LP3

马尼恩的艺术,必然的事情

戴夫•Waltermire NIST

行动项目从先前的编辑委员会会议综述:

操作项:

- - - - - - 董事会章程(斜方)

o 修改后的编辑委员会章程是分布式和在这个会议上讨论

- - - - - - 董事会提名的模板(斜方)

o 建议提名表格现在在附录A的宪章

- - - - - - 写一个草稿讨论了基于CNA的需求

o CERT-CC将审查CNA需求文档

- - - - - - 更新描述CERT-CC通道

o 更新CERT-CC泳道描述是接近完成,很快就会分发

有一个简短的讨论有关当前状态的CVE的使用条款。律师从红色的帽子,代表DWF自愿和Red Hat,正在与斜方的律师完成更新。董事会成员的调用请求,他们也能够审查使用条款之前公开。斜方同意。

话题转到编辑部宪章,分布了审查和评论的前两周。修订,并没有改变的意思或过程。然而,几个建议编辑会改变意思或过程,所以需要董事会投票。综述了这些东西,这样可以听到的意见和选择。以下是物品上投票,选择,以及理由选择:

  1. 板的名称:
    1. CVE编辑委员会——这是传统的名字,所以不需要改变。然而,使用这个名字,因为CVE成立时,董事会编辑个人cf,不再如此。
    2. CVE咨询委员会——这个名字提出了调整更紧密地与当前董事会的作用,但是,它将需要调整语言(例如,网站更新)。
    3. CVE董事会——这个名字提出了最灵活的选择,尽管有些发现它是通用的,意味着董事会控制cf的方方面面。

  1. 应通过1.3.4 1.3.1宪章》部分,清单具体任务,并为每个董事会成员资格的角色,被删除?
    1. 是的——删除这些部分删除繁琐和无法执行的需求和开辟了参与。然而,删除这些也消除了潜在的标准对董事会提名可能被评估。
    2. 没有——离开这些部分提供了明确的标准审查委员会提名。然而,严格的语言可能使其难以接受提名谁会带来价值CVE程序但可能不匹配所有标准。

  1. 所需的2/3投票应该强制删除,而不是简单多数?
    1. 是的——一个更严格的要求比简单多数将减少个体被删除的机会仅仅由于不受欢迎的观点。然而,这并创建一个单一的情况下投票需要更多的比大多数的决定。
    2. 没有——多数投票可以确保投票行为的一致性。然而,它也可能使它容易强行删除那些可能带来价值。

  1. 董事会的成员建立一个工作小组:
    1. 不需要批准。——此选项迅速采取行动消除了障碍。然而,它是可能的,一些董事会成员可以组成一个工作小组主持下的CVE破坏了CVE程序编辑委员会。
    2. 董事会主持人提供的批准。董事会可以叫如果认为有必要,投票的结果,将决定批准。——这个选项允许一个相当快速响应,同时确保有一个制衡制度。然而,低于形成一组未经批准,可能要慢得多,如果董事会决定投票是必要的。
    3. 董事会投票是必需的。——这样可以确保董事会成员都有在工作小组的形成。然而,这种方法需要等待期,而发布投票,回应和计算。

投票形式分发会议纪要草稿和总结7月5或6。票必须在不迟于7月13日更新的宪章可以准备复习下一个编辑委员会会议于7月14日。会后7月14日将会有一个投票接受修改后的章程。

修改计算纸被讨论。反馈收集从董事会成员在会议之前,并详细讨论了一些变化:

  1. 目前,横切持有在计算一个问题与漏洞,直到我们确认供应商,这是违反他们的安全政策。提出的变化是这行动的声明式模型。如果有影响,但目前还不清楚如果违反了安全策略,将分配一个ID。董事会成员同意此更改,有可能拒绝提供如果后来发现不能违反供应商的安全策略。

  1. 目前,当斜方被要求不熟悉的产品,时间确定,产品可安装在客户环境。拟议中的变化,目前尚不清楚时,将分配一个ID。——董事会成员同意此更改,只要有可能拒绝如果后来发现不是一个可安装的产品。此外,至少有一个董事会成员认为软件即服务漏洞应该包括和覆盖范围内的CVE程序。

  1. 目前,当接收到一个请求的东西可能共享代码库的脆弱性,横切研究决定是否或不。拟议中的变化是不做进一步的研究和继续,分配到每一个产品的影响无论共享代码库。然而,如果它被称为,这是一个共享代码库的问题,这将被视为。董事会成员同意此更改,以后可以提供正确的情况。需要清理过程的回顾和文档,因为下游用户将不得不处理这个。

目前,一个单独的CVE ID创建不同类型的漏洞(例如,多个缓冲区溢位在相同版本的产品将被合并使用当前进程)。拟议中的变化是独立基础指望可以解决的问题。在上面的例子中,如果这些缓冲区溢出可以独立固定,然后每个缓冲区溢出漏洞将被分配一个单独的CVE ID。——董事会成员普遍认为,但担忧就如一个期望,计算一个一致的基础上就错了由于缺乏理解或误解的计算规则。

操作项:

- - - - - - 分发一个优秀特许的投票的形式问题(斜方)

- - - - - - 将投票结果和发送修订后的章程(斜方)

- - - - - - 把评论收到计数规则文档为最终批准和分发(斜方)

出色的操作项:

- - - - - - 更新描述CERT-CC通道(CERT-CC;在进行中)

- - - - - - 修改CNA需求文档(CERT-CC)

下一个编辑委员会会议将在7月14日举行。

附件:CVE_Editorial_Board_Meeting_summary_20160630.pdf
描述:CVE_Editorial_Board_Meeting_summary_20160630.pdf

页面最后更新或审查:2016年7月12日