(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
再保险:新研究员的指导方针
- 来:“棺材,克里斯" <ccoffin@mitre.org>,cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
- 主题:Re:新研究员的指导方针
- 从肯特:“Landfield, B " <kent.b.landfield@intel.com>
- 日期:2017年1月20日星期五20:19:52 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=没有(发送者的IP 129.83.29.2) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = intel.com, mitre.org;dkim = none(消息没有签署)header.d =没有;
- 交货日期:2017年1月20日17:00:21星期五
- 在回复:<MWHPR09MB1485714107F6B807091D5675A1710@MWHPR09MB1485.namprd09.prod.outlook.com>
- 名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
- List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
- List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
- List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
- 引用:<BBBED692-FD20-46F7-A4A5-9EBDCD368C80@intel.com> <MWHPR09MB14854B70658155D043CA8376A1710@MWHPR09MB1485.namprd09.prod.outlook.com> <2390858 f - edf0 - 48 - b4 - 9061 - 69 f0d49b3dad@intel.com> <MWHPR09MB1485714107F6B807091D5675A1710@MWHPR09MB1485.namprd09.prod.outlook.com>
- 发送方:<owner-cve-editorial-board-list@lists.mitre.org>
- Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
- Spamdiagnosticoutput:1:2
- Thread-index:AQHSc0VjPbVK15leZUSCRH4hbTlbAKFB0nqAgAB6EAD / / 6 omaa = =
- Thread-topic:新研究指南
- 用户代理:Microsoft-MacOutlook / f.1e.0.170107
|
克里斯,,
我没有问题与斜方上传文档和指南,他们认为是有益的。然而,我认为在新政策或指导文件发布之前,这将是专业通知董事会。我的建议会导致微小的变化就像早些时候表示,这都是可以避免的。文档可能已经从WIP最终在很短的时间。我们应该建议和支持。我们之前有这种情况发生,并承诺我们就不会措手不及了。但是,我们到了。
我们可以而且应该讨论什么类型的“变化”可能或可能不适合通知董事会,但很明显,这种“新文档”通知社会应积极审查前不久发布。正如我们所看到的在过去的9个月,董事会,并将响应及时。给我们机会,你会发现得到的支持是正确的…
我现在讲台我要下台了…:-)
推荐- - - - - - 肯特Landfield + 1.817.637.8026
来自:“棺材里,克里斯”< ccoffin@mitre.org >
随着大多数的文档可以在Github CVE网站,我认为研究人员预订方针仍然是一个在制品的数量。然而,基于当前处理的请求文档我们觉得应该更广泛的访问,应该CVE网站上公布。即使在其目前的形式来看,社区的文档可以回答问题(特别是研究者)可能在经历这个过程。
我们将继续更新文档时收到有用的反馈,我们可以继续通过Github接收反馈。我们如何通知董事会这些变化可能是我们应该讨论在未来的董事会。例如,董事会希望批准小更新,还是等重大项目变更的步骤问题,等等?
克里斯
来自:Landfield,肯特B [mailto: kent.b.landfield@intel.com]
对不起,我糊涂了。你把东西放在github,问一个问题,给人的印象是一项正在进行中的工作(在制品),然后把它作为一个完整的政策没有通知董事会?我认为应该有通知在制品政策/公共准则发生。它不出现必须被通知通过邮件列表。我没有发现任何CNA名单。它会影响他们。他们会发送一些带外吗?
我可以提供反馈。我想我需要检查每一个在制品文档在github上……
推荐- - - - - -
肯特Landfield
+ 1.817.637.8026
来自:“棺材里,克里斯" <ccoffin@mitre.org>
嗨,肯特,
尽管新闻文章(万博下载包http://cve.mitre.org/万博下载包news/archives/2017/news.html january122017_Researcher_Reservation_Guidelines_Document_Now_Available)读起来就像它是一个新文档,文档的内容没有改变时,2016年8月以来第一次与董事会和公众分享在Github (http://cveproject.github.io/docs/requester/reservation-guidelines.html)。唯一的变化是,文档是搬到CVE网站。
至于粗体的句子,你正确地指出,很显然应该重新审视。这种说法,在文档和其他潜在的语句可能不结合当前过程使用的团队。我好立即删除这个句子开始”或“从别人那里如果没有异议。其他动作项,你也正确的表,会安排电话讨论在未来的董事会以及提供充足的时间董事会审查文档。
我们有一个董事会会议下周的周三。然而,我的假设是,这是太短的通知审查和提供反馈。我的建议是,董事会成员审查和提供反馈在当前的指导方针和提供反馈以下董事会电话(2月8)。我们可以讨论任何措施是根据收到的反馈会议。有人反对这个计划吗?
克里斯棺材
CVE团队
来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Landfield,肯特B
我看到斜方宣布了新的研究人员预订指南……在新准则:
4所示。请求第三方协调CNAs或电子邮件列表。
如果CVE ID不能通过CNA要求,考虑与第三方联系协调等紧急响应或脆弱性分析团队(例如,CERT / CC),尤其是当有问题联系受影响的供应商。如果请求被接受,该组织将致力于CVE ID分配问题。或者,你可以发布的信息邮件列表如BugTraq或oss-security,如果接受,这个问题最终将分配一个CVE CNA ID。
这是从哪里来的?我相信你设置CVE更多研究员鄙视不成为一个正式的过程和特异性。如果人们预期CVE因为他们发布一些随机写的邮件列表,他们会失望当他们没有得到一个。
这个文档应该被送到董事会名单公布之前。这是讨论的F2F走出房间的时候吗?我找不到该公司公布董事会名单。我印象中斜方已同意让董事会了解在这些类型的事情公之于众。校准和透明的行动在哪里?
我相信“或声明应该被重写为真正的清晰和更少的歧义或完全应该被删除。我相信这对我们来说是一个错误,将导致问题在未来。具体而言,是清晰的。不要总以这样一种方式来创建研究员社区内不合理的期望……
为什么早些时候董事会不知情呢? ? ?
- - - - - -
肯特Landfield
英特尔公司
+ 1.817.637.8026
|
- 引用:
- 新的研究指南
- 来自:“B Landfield,肯特”< kent.b.landfield@intel.com >
- 再保险:新研究员的指导方针
- 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 再保险:新研究员的指导方针
- 来自:“B Landfield,肯特”< kent.b.landfield@intel.com >
- 再保险:新研究员的指导方针
- 来自:“棺材里,克里斯”< ccoffin@mitre.org >
- 新的研究指南
- 上一页的日期:再保险:CVE培训材料
- 下一个按日期:议程CVE董事会会议12月14日(星期三)
- 前线程:再保险:新研究员的指导方针
- 下一个线程:CVE培训材料
- 指数(es):
