(日期:][日期下][线程:][线程下][日期索引][线程索引]

2016年12月CVE董事会会议纪要- 14

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题2016年12月:CVE董事会会议纪要- 14
从:“Adinolfi, Daniel R " <dadinolfi@mitre.org>
日期:星期四,2016年12月22日18:48:26 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = mitre.org, mitre.org;dkim = none(消息没有签署)header.d =没有;
交货日期:2016年12月22日16:53:46星期四
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2
Thread-index:AQHSXIP6FVrNioROL0mpjv0nObpKXw = =
Thread-topic2016年12月:CVE董事会会议纪要- 14
用户代理:Microsoft-MacOutlook / f.1d.0.161209

CVE董事会会议

2016年12月14日,美国东部时间下午2点

CVE董事会通过电话会议于2016年12月14日见面。

董事会成员参加:

安迪Balinsky(思科)

哈罗德·布斯(NIST)

肯特Landfield(英特尔)

斯科特·劳勒(LP3)

帕默(出现/普渡大学)

肯•威廉姆斯(CA技术)

Kurt Seifried

横切CVE团队的成员参加了调用如下:

丹Adinolfi

克里斯棺材

乔纳森埃文斯

安东尼单例

乔治Theall

克里斯汀的交易

乔恩·贝克

议程

下午2 - 2:介绍,从上次会议——丹尼尔Adinolfi行动项目

2 - 2:10:CVE -肯特Landfield战略规划工作小组更新

——Kurt Seifried 2:10 - 2: DWF更新

2 - 3:自动化工作小组——Kurt Seifried和哈罗德·布斯

3 - 20:横切CNA采用CNA规则——乔纳森埃文斯

-凌晨:3:20痛点,丹尼尔Adinolfi

凌晨9 - 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——丹尼尔Adinolfi

回顾的会议开始之前的董事会会议的行动项目。有四个行动项目。首先,斜方证实,他们将发送CVE代表RSA。他们将参加演讲和讨论计划宣布CVE导师计划。同时,脆弱的命名工作小组还创建,和斜接将完成这一任务。JSON模式与自动化工作组共享。最后,2016年12月28日,董事会会议取消了由于假期。

CVE战略规划工作小组更新

上次会议的战略规划工作组(WG),小组讨论计划的潜在影响CVE导师项目正在开发的Kurt Seifried和肯特Landfield。(如前所述,辅导计划将在RSA正式宣布2017年2月)。导师计划,与CVE的其他部分一样,必须建立以允许跨多个域工作所需的灵活性和CNA根基。

同时,工作组将做额外的工作比较NIST的弱点本体和数据元素的JSON计划以确保努力都朝着相同或兼容的方向。

DWF更新

DWF已执行清理通过其web表单提交的数据。他们发现大部分的数据不是格式良好,明确表示,或者足够了。同时,提交者承认他们接受使用条款一直是一个挑战。希望导师计划帮助训练提交者包括格式良好和适当的数据。

同时,DWF将继续通过他们的积压,这主要涉及到获得肯定的接受使用条款。

DWF也看着方便识别用户身份管理计划,在DWF授权他们的角色,并生成一个清晰的历史的参与。

自动化工作小组

自动化工作小组在2016年12月6日。工作组审查和评论的JSON格式。使用格式的优点和缺点进行了讨论,讨论正在进行,在WG和自动化和CNA邮件列表。

工作组正在等待明确的权限从英特尔利用其优异的计算表格,以便它可以作为进一步自动化发展的一个起点。

第二工作组会议,很快就会安排。

主教法冠CNA CNA规则的采用

斜方一直在审查其操作规程,把他们置于CNA规则。董事会认为改变的影响需求,横切地方CVE ID请求以确保斜方可以按照CNA规则。例如,横切分配一个ID CVE漏洞变得公开,然后前没有通知漏洞时公开。这使得CVE ID CVE列表中的条目列为“保留”,没有一个描述,尽管细节漏洞是公开的,导致CVE消费者的混淆。

主教法冠将继续调查选项减少和相关问题的发生。

痛点

CVE董事会讨论了最近的一个事件在CNA邮件列表包括董事会成员行为反常的举动和不当。董事会同意,任何响应应该尽可能透明。

主教法冠,CVE董事会的代表,将发送公共信息CNA列表调用不可接受的行为。这将解释这样的重复行为将导致从CNA名单中剔除。

主教法冠,CVE董事会的代表,将直接警告董事会成员与私人董事会邮件列表CC。警告将向个人解释,将给予纪律处分,包括,从CNA列表中删除如果有任何进一步的不可接受的行为。董事会成员将不会被删除。

董事会将更新董事会章程包括更多的特定语言对董事会成员被认为是适当的。建议董事会采用贡献者契约的行为准则:http://contributor-covenant.org/version/1/4/。

这是用于DWF的行为准则。主教法冠将创建一些更新语言宪章》的下一个董事会会议,将讨论,提出语言。

合同已经有它所需要的谴责或删除一个董事会成员,但这个更新将加强已经包括在内。

公开讨论

孝中山教授JPCERT / CC已经添加到CVE董事会。

操作项:

主教法冠将审查公开发布CVE网站和相关的维基百科页面上的内容,以确保它是正确的和最新的。
一个邮件列表支持命名工作小组将由主教法冠。
横切将开发一个战略和建议实施计划CVE ID创建的块可以用于测试。
战略规划工作组会谈定于12月21日,2016年,可能由于而取消假期。这个工作组将确认邮件列表。
应对可疑内容发布到cve-cna-list邮件列表将实现如上所述。
CVE将安排下一个自动化工作组会议。
董事会与英特尔将检查来验证他们的CVE分配表格可以与更大的社区共享。

下一次董事会会议将于1月11日,2017年。

附件:CVE董事会Meeting_12_14.docx
描述:CVE董事会Meeting_12_14.docx