CVE董事会会议记录 - 2016年11月30日

CVE董事会会议

2016年11月30日，下午2:00美东时间

CVE董事会于2016年11月30日通过电话会议开会。

出席董事会成员是：

安迪·巴林斯基（思科）

哈罗德·布斯（NIST）

肯特·兰德菲尔德（英特尔）

斯科特·劳勒（LP3）

艺术马尼昂（CERT-CC）

Pascal Meunier（Cerias/Purdue University）

肯·威廉姆斯（CA Technologies）

参加电话会议的MITER CVE团队的成员如下：

丹·阿迪诺夫（Dan Adinolfi）

克里斯·科芬

乔纳森·埃文斯（Jonathan Evans）

安东尼·辛格尔顿

乔治·蒂尔（George Theall）

议程

2：00 - 2:05：上次会议的介绍，动作项目 - 克里斯·科芬（Chris Coffin）

2：05 - 2:10：CVE战略计划工作组更新 - 肯特·兰德菲尔德

2:10 - 2:40：DWF更新 - Kurt Seifried

2：40 - 2：50：自动化工作组更新-Kurt Seifried和Harold Booth

2：50 - 3:20：命名工作组的创建 - 乔纳森·埃文斯（Jonathan Evans）

3:20 - 3:40：JSON格式-Chris Coffin

3:40 - 3：55：公开讨论 - CVE董事会

3：55 - 4：00：动作项目，总结 - 克里斯·科芬（Chris Coffin）

会议始于对上一次董事会会议的行动项目的审查。有三个动作项目。首先，米特（Miter）是分享从CNA峰会中出来的动作项目清单，他们做到了。其次，董事会是调查在2月在RSA会议上举行董事会会议的可能性，该会议仍在调查中。最后，米特（Miter）是查询CNA和董事会邮寄列表，以询问谁想参加他们所做的新自动化工作组。

CVE战略计划工作组更新

战略规划工作组（SPWG）于2016年11月22日开会。在该会议期间，SPWG辩论了与董事会有关的理事会的需求，该理事会将重点关注运营问题。此外，SPWG讨论了这样的想法，即CVE对未来的任何愿景都必须包括整个部门的全球脆弱性管理需求以及对战略制定可能意味着什么。与此相关的是，有必要提高搜索能力来支持与其他利益相关者的合作和互连。

DWF更新

这次会议没有DWF的更新。董事会意识到正在进行的运营活动和指导计划的发展，但没有新的信息可用。

自动化工作组

自动化工作组（AWG）的邮件列表已遍及有兴趣参加的人。第一阶的业务是安排常规会议，并发送了一项涂鸦民意调查，以安排初次会议。该民意调查的结果将在几天之内向小组宣布。

创建命名工作组

在对漏洞或漏洞类别的替代名称的需求进行了长时间的讨论之后，Miter建议创建一个工作组来解决此问题。工作组将确定CVE是否可以建立现有CVE ID分配漏洞的替代名称的标准以及如何记录这些标准。工作组将考虑CVE以外的其他工作组已经完成的工作，以确定CVE应该如何与他们合作。该工作组向CNA，董事会以及更大的脆弱性管理社区的其他成员开放，例如MITER的CWE和CAPEC团队。将建立邮件列表以促进讨论。

JSON格式

开发的JSON模式是为了促进CVE ID请求的自动提交和CVE ID信息的共享即将完成。它的开发将转移到自动化工作组。AWG将考虑开发一旦设置了模式本身，该工具将与模式合作。有一些关于利用YAML的讨论，但是讨论是由AWG提出的。

公开讨论

由于将于12月28日不可用的董事会成员人数，该日期定于当天举行的CVE董事会会议将被取消。

Kurt Seifried将在Twitter上使用#CVEMENTOR主题标签来标记与他和其他人正在开发的CNA指导计划有关的讨论。

在新年开始时，董事会应对其会员资格进行投票，以查看是否应更改董事会会议的预定时间。

肯特·兰德菲尔德（Kent Landfield）准备从JPCERT到CVE董事会提名Takayuki（Taki）Uchiyama。一旦此类提名的详细信息已在JPCERT内解决，将向董事会提交官方提名。

行动项目：

• Miter将调查他们是否将派遣员工参加2017年2月的RSA会议。
• 将通过邮件列表建立一个漏洞命名工作组，该邮件将由MITER创建。
• 董事会会议定于12月28日^Th由于假期将被取消。
• JSON模式的最新版本将通过其邮件列表与自动化工作组共享。

下一个董事会会议将于12月14日举行^Th。

依恋：CVE董事会会议_11_30.DOCX
描述：CVE董事会会议_11_30.DOCX