CVE董事会电话会议摘要 - 2016年8月11日

CVE董事会会议

2016年8月11日，下午2:00美东时间

CVE董事会于2016年8月11日通过电话会议开会。会议包括CVE计数规则文件，宪章修订和使用条款（TOU）的更新。

出席：

Dan Adinolfi，斜切

乔恩·贝克（Jon Baker），委员会

思科安迪·巴林斯基（Andy Balinsky）

哈罗德·布斯（Harold Booth），尼斯

史蒂夫·博伊尔（Steve Boyle），委员会

克里斯·科芬（Chris Coffin），委员会

马克·考克斯（Mark Cox），红色帽子

克里斯汀·达成，委员会

乔纳森·埃文斯（Jonathan Evans），斜切

肯特·兰德菲尔德，英特尔

斯科特·劳勒（Scott Lawler），LP3

Art Manion，证书

梅根·曼利（Meghan Manley），斜切

帕斯卡Meunier，Cerias/Purdue University

乔·塞恩（Joe Sain），斜切

安东尼·辛格尔顿（Anthony Singleton），斜切

乔治·蒂尔（George Theall），斜切

唐娜·特拉梅尔（Donna Trammell），斜切

Dave Waltermire，NIST

肯·威廉姆斯（Ken Williams），CA Technologies

会议开始于CVE计数规则文档的简短更新。在审核期间（通过电子邮件列表）未收到董事会的反馈。人们引起了人们的担忧，即现在确定是否应将问题视为CVE目的的脆弱性时，该措辞现在为CNA提供了显着的纬度。具体而言，CNA可以根据自己的安全策略确定CVE的适用性，这可能与普通实践不同。结果是，基于受影响的供应商对安全策略的宽松定义，合法脆弱性可以被认为是可以接受的（即不是漏洞）。

由于主要的CNA（MITER）将仍然是上一项不得已的CNA，因此，如果社区认为CNA的分配和分配实践存在问题，则该问题可以升级为主要CNA进行裁决。

米特（Miter）以最近的董事会投票结果为例，对新的CVE董事会宪章进行了最新消息，对投票的回应率很好（只有五名董事会成员没有回应）。投票结果是：

· 谁决定授予名誉身份？

o 0票：董事会主持人

o 2票：董事会通过董事会投票

o 10票：董事会主持人，但董事会可以通过董事会投票推翻决定

o 在投票期间，提出了其他语言，如下所示：
董事会主持人负责确定离职成员的初始识别状态。主持人将告知董事会状态。如果董事会在提议的认可状态下存在分歧，董事会可以呼吁投票确定是否应将离职的成员列为名誉成员还是贡献成员。

· 应向董事会成员提供多少时间来投票给定问题？

o 0票：一周

o 5票：两周

o 8票：进行投票的时间范围可能会根据情况而有所不同，但必须至少一周长。两周是大多数选票的推荐时间范围，但不需要。

· 您是否支持将以下语句添加到宪章中？

董事会成员有责任通过投票参加。如果成员不在前三个（连续）董事会投票中至少投票，他们将失去投票特权。投票以避免参与和法定人数。成员可以通过要求通过私人邮件列表或董事会会议恢复其投票特权来重新获得投票特权。如果在过去的一年中没有投票，则可以按照被迫撤职的程序将其从董事会投票中删除。

o 13票：是的

o 0票：否

o 在投票期间，提出了其他语言，如下所示：
董事会成员有责任通过投票参加。如果成员不在前三个（连续）董事会投票中至少投票，他们将失去投票特权。投票以避免参与和法定人数。成员可以通过要求通过私人邮件列表或董事会会议恢复其投票特权来重新获得投票特权。如果在过去的一年中没有投票，则可以按照被迫撤职的程序将其从董事会投票中删除。如果单个组织有多个董事会成员，则上述适用于组织成员，而不是个人成员。换句话说，组织成员提交的投票将其视为单一投票，并以对该组织的所有董事会成员认可的投票。

Miter将于8/12将修订后的宪章和投票结果发送给董事会，并在8/19之前要求反馈。然后，将在8/19分发该宪章的干净副本，使董事会一周进行审查。在下一个董事会会议（8/25）的情况下，董事会可以决定宪章是否准备好获得最终批准票。

Miter宣布使用条款（TOU）已获批准。新的TOU将其发布到CVE网站后立即生效。

新的TOU将允许DWF（或其他任何人）将CVE分配的描述直接发送到CVE列表中，但是由于MITER和DWF之间正在积极解决的某些技术问题，这可能会延迟。同样，CVE条目中必须包含的最小内容集将很快公开记录，直接将描述内容发送到CVE列表的技术方法也将很快公开。

为了满足董事会对董事会投票参与的要求，MITER提出，当前的宪章投票结果正在电子表格中跟踪，该信息以及将来的投票将被跟踪并与董事会共享。

随着MITER偶尔发生的工作人员的变化，Miter将在加入CVE团队时介绍新的员工，并确保电话中的每个人（包括MITER员工）将在会议记录中列出。

黑帽子和DEF会议为Miter提供了进行大量宣传的机会，并为CVE计划提供了一些额外的公众接触。其中的一部分包括对不断增长的CNA计划的认识提高，并确定了新的接触和新的潜在CNA。

董事会表示需要进行外展计划。该计划将包括详细信息，这些细节将使董事会在公众中与MITER保持一致，并试图招募新的CNA并提高对该计划的认识。董事会将站立一个外展工作组来满足这一需求。该工作组的目标将包括开发内容和演示文稿，董事会成员在执行宣传任务时可以使用。此外，MITER将使董事会在招募CNA方面取得的进展情况，并与董事会合作制定针对潜在CNA候选者的战略。

行动项目：

1。 CNA计数文档（计数决策树） - 指望COB 8/22的反馈

2。 宪章 - 清洁复制8/12，以及投票结果。8/19的董事会反馈；在8/19发送干净的副本，并在准备好投票的情况下决定8/25

3。 将斜切人员添加到几分钟。

下一个董事会会议将于8月25日举行。

依恋：cve_board_summary_20160811.pdf
描述：cve_board_summary_20160811.pdf