2017年1月CVE董事会会议纪要- 11

CVE董事会会议

2017年1月11日,美国东部时间下午2点

CVE董事会通过电话会议召开了会议,2017年1月11日。

董事会成员参加:

安迪Balinsky(思科)

哈罗德·布斯(NIST)

肯特Landfield(英特尔)

斯科特·劳勒(LP3)

马尼恩的艺术(CERT / CC)

Kurt Seifried (Red Hat)

塔基•中山教授(JPCERT / CC)

横切CVE团队的成员参加了调用如下:

丹Adinolfi

蒂芙尼Bergeron

乔纳森埃文斯

安东尼单例

乔治Theall

议程

下午2 - 2:介绍,从上次会议——丹Adinolfi行动项目

2 - 2:10:CVE -肯特Landfield战略规划工作小组更新

——Kurt Seifried 2:10 - 2: DWF更新

- DWF和保留CVE id -乔纳森埃文斯

2 - 3:自动化工作小组——Kurt Seifried和哈罗德·布斯

3 - 3:CVE邮件列表的使用——丹Adinolfi

3 - 20:要求测试数据——丹Adinolfi CVE ID

3 - 3:公共识别——丹Adinolfi CVE的贡献

3 - 3:40分月度CNA报告——丹Adinolfi

凌晨3:45:董事会提名威廉·考克斯-丹Adinolfi

45 - 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——丹Adinolfi

之前的董事会会议的行动项目是:

• “僧帽将审查公开发布CVE网站和相关的维基百科页面上的内容,以确保它是正确的和最新的。“这项工作尚未完成。
• “一个邮件列表支持命名工作小组将由主教法冠。“这创建邮件列表,但它尚未被填充。
• “横切将开发策略和建议实施计划创建CVE ID的块可以用于测试。“在收到额外的反馈在这个问题上,斜接将开发一个建议。
• “战略规划工作组会谈定于12月21日,2016年,可能由于而取消假期。这个工作组将确认邮件列表。“这次会议确实是取消了。
• “应对可疑内容发布到cve-cna-list邮件列表将实现如上所述。“这是董事会的指令来完成。
• “CVE将安排下一个自动化工作组会议。“下一个自动化工作组会谈定于1月17日2017年。
• “董事会与英特尔将检查来验证他们的CVE分配表格可以与更大的社区共享。“我们做确认电子表格可以共享。

CVE战略规划工作小组更新

2017年出来的1月4日,战略规划工作小组会议,提出以下建议。

1. 董事会认为斜方应该前进改变JPCERT / CC根CNA, DWF的对等。
2. 董事会将讨论需要解决在CVE支持其他语言的本地化。
3. 董事会将鼓励僧帽继续努力出版所有CVE id分配。
4. 董事会将鼓励僧帽发展指标需要更好的通知董事会关于CVE和CNA操作。
5. 董事会将支持并协助主教法冠在发展中国家的全球营销推广计划,技术部门和新兴技术。
6. 董事会将鼓励斜方确定需要支持更多的设备,没有传统上支持固件和软件。此外,董事会将鼓励僧帽宣传CVE的扩张的范围包括硬件、固件和软件。

工作组还建议考虑董事会会议的新计划,以适应广泛的时区和改变计划的参与者。

工作组还讨论了所有工作组的作用而形成的。工作小组是为了建议董事会的具体建议和行动项目。工作组应被视为董事会的延伸,当一个工作组报告董事会,董事会应该立即评论工作小组的发现。这些发现应该考虑的结果,而且,除非有重大分歧,他们将代表董事会执行。

DWF更新

DWF继续与开发商合作,识别和训练新子CNAs DWF之下。在这一点上,没有子CNAs正式命名。

工作DWF JSON模式仍在继续,这与自动化工作将在协调工作组。其他操作过程仍在开发,包括如何使GitHub库规模。

横切长大的事实目前DWF无法适应CVE ID请求被禁止的漏洞。DWF承认这是一个要求,将开发一个解决方案。

自动化工作小组

自动化工作小组(AWG)将会议1月17日,2017年。会议议程将公布之前,这的议程将包括JSON模式。斜方要求完成一个版本的JSON模式允许CNAs发展模式没有被一个移动的目标。一个新版本的DWF模式将呈现。

CVE邮件列表的使用

随着CVE社区的增长,更多的通信通道被创建和新成员的社区使用这些通道。邮件列表礼仪和偶尔关注列表是混乱的源头。

董事会讨论每个邮件列表和希望列表的使用有一个专业的语气和适当的内容在每个共享。的目标是社会适应发布问题,使评价的列表和列表上的信息流动是可控的。

要求测试CVE ID数据

在前面的董事会会议,创建一组测试数据,提出了CVE ID。斜方征求董事会为特定的需求和用例对于这个数据集。董事会讨论这些,但他们指出,这些数据集的开发和测试是通过自动化的工作小组。

CVE贡献者公众认可

斜方要求董事会意见建立一个“谢谢”页面的CVE网站认识的人提交了CVE ID描述在过去一个月。这将创建一个小激励描述写的社区。董事会认为贡献者的可能性“游戏系统”公众认可CVE最小值非常高。这个想法不会追求。

每月CNA报告

斜方要求董事会他们希望看到什么样的信息定期报告必须和CVE项目作为一个整体。董事会希望得到指标的质量数据被包含在CVE列表,有多少错误和重复处理,CNAs可能需要额外的帮助或培训。

指标显示板的数量和工作小组会议,区域的数量和CNA作业的数量也会有用。指标,可以给一个迹象的时间分配和公共CVE id也可能是有用的。所有的这些报告最好按季度交付。

董事会提名威廉·考克斯

斜方正式提名威廉·考克斯的黑鸭子软件。

公开讨论

斜方发表了一篇新闻文章解释了为什么保留CVE万博下载包 ID数字顺序部分远高于与前几年相比。http://cve.mitre.org/万博下载包news/archives/2017/news.html january122017_FOCUS_ON: _The_Significance_and_Meaning_of_the_Year_Portion_of_a_CVE_Identifier

12月的博客只有一个响应。主教法冠希望看到更多的反馈在这个问题上,他们要求董事会传播。

NVD提到他们将很快推出一个新设计的网站。

操作项:

• 自动化工作组将制定计划实现测试数据集。
• 主教法冠向董事会将发送邮件描述最近的成就。
• 主教法冠将研究如何改善他们的博客,特别是这样的个人职位可以直接联系。
• 主教法冠将审查公开发布CVE网站和相关的维基百科页面上的内容,以确保它是正确的和最新的
• 一个邮件列表的命名工作小组将填充后,呼吁参与。

下次董事会会议将于1月25日,2017年。

附件:CVE董事会Meeting_1_11_17.docx
描述:CVE董事会Meeting_1_11_17.docx