CVE董事会电话会议总结——2016年7月28日

CVE董事会会议

2016年7月28日

CVE委员会于2016年7月28日通过电话会议。会议包括更新分布式弱点申请(DWF)活动,CVE计数规则文档,董事会章程修订,CVE使用条款(石头)。横切CVE团队的成员也参加了电话。董事会成员参加:

出席者:

马尼恩的艺术,必然的事情

Kurt Seifried,红色的帽子

哈罗德·布斯NIST

马克•考克斯红色帽子

帕斯卡贝露出现/普渡大学

肯•威廉姆斯CA技术

斯科特•Lawler LP3

从前面的综述了董事会会议行动项目:

- - - - - - 董事会章程(斜方)

o 上次会议的反馈被纳入该文档

o 宪章投票被推迟了,因为邮件列表中突出问题提出讨论

o 统计从之前的投票是分发给董事会的邮件列表

- - - - - - CVE计数规则(斜方)

o 把收到的评论反馈

会议开始于DWF更新。DWF已分配CVE id和他们开始训练过程。董事会主持人要求DWF提供一些指标(例如,多少time-approximately-is花在培训和影响所)因此,展望未来,这些信息作为建立了新的根必须是可用的。

DWF经历了麻烦spam-not不是恶意,但不格式化的请求(或请求可能合法安全硬化的问题,但不是一个漏洞)。到目前为止,他们已经收到大约100这样的请求,这是约5 - 10%的垃圾邮件的速度。

然后转向计数规则文档的讨论。新版本的计数规则文档准备,连同一个新文档关于区域卫生保险机构(即计算决定。决策树)。斜方正在寻找来自每个人的反馈在整个决策树;可以通过电子邮件反馈。想知道冠冕,具体来说:

· 这是一个正确方向的一步吗?

· 我们简化基于早期的计数决定?

· 我们是否漏掉了什么专业?

· 我们应该允许这种灵活性(目前提出了相当多的决策树允许灵活性的方式必须能够计算)?

下一步是锁定的定义的“独立可以解决的”规则;有解释的空间。

来回有一些想法,如果只有一个产品的供应商可以采取行动修复漏洞,也许CVE ID不应分配。一个关心的是表示,如果,例如,一个软件即服务(SaaS)产品暂时是脆弱的,没有工件。这怎么跟踪,我们如何得到这些供应商上?他们的动机是什么光?在这种情况下,某种类型的标识符需要这些类型的问题,但至少有一个董事会成员表示,他们不确定CVE是正确的地方。一般都同意CVE可以作为domain-custom脆弱性管理流程中的核心元素,这些东西可以命名的方式是独特的环境(域),但仍与更广泛的CVE语料库。

董事会讨论了宪章。虽然宪章最初是为上次会议之后的投票中,悬而未决的问题在邮件列表讨论促使推迟长大的选票。相反,这些悬而未决的问题的列表是通过私人电子邮件和董事会会议期间讨论。下面列出的问题,每个问题和选项,这将为董事会投票前被纳入合同:

· 决定授予名誉地位?

o 董事会主持人

o 董事会,董事会投票

o 董事会的主持人,但董事会可以否决董事会投票决定

· 多少时间应该提供给董事会成员表决一个给定的问题?

o 一个星期

o 两个星期

o 投票的时间框架会随着环境的变化要求,但必须至少一周的长。推荐两周时间对大多数选票,但不是必需的。

· 你支持下面的语句添加到租船吗?

董事会成员有责任参与投票。成员将会投票权限如果他们不投票前三(连续)的至少一个董事会投票。票弃权计入参与和群体。成员可能重新投票权限通过询问他们的投票权限恢复通过私人邮件列表或在董事会会议。如果成员没有投票在过去的一年中,他们可以通过董事会投票,从棋盘上拿掉后,程序强制删除。

o 是的

o 没有

最后的议程是一个更新的头文件。Red Hat的律师(代表DWF)已审核金银铜,平心而论,机会对其他组织提出了他们的律师也回顾并评价了石头。到目前为止,没有反应。截止日期是8/5定在任何组织表达他们的律师的意图与斜方关于金银铜的律师联系。

操作项:

1。 DWF-look向获得一些数据关于培训和开销

2。 CNA计算文档(包括决策树)期待反馈了结实的8/8

3所示。 Charter-call投票给悬而未决的问题会出7/29。

4所示。 使用的请求将被发送到列表的组织表达意图有他们的律师接触斜方的律师8/5如果有必要。

下次董事会议将在8月11日举行。

附件:CVE_Board_Meeting_Summary20160728.pdf
描述:CVE_Board_Meeting_Summary20160728.pdf