[[日期上一篇这是给予的[[Date Next这是给予的[[线程这是给予的[[Thread Next这是给予的[[日期索引这是给予的[[线程索引这是给予的

CVE董事会会议记录 - 2017年3月22日

到：cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题: CVE Board Meeting Minutes - 22 March 2017
From: "Adinolfi, Daniel R" <dadinolfi@mitre.org>
Date: Wed, 5 Apr 2017 14:08:47 +0000
接受语言：en-us
Authentication-results: spf=none (sender IP is 129.83.29.2) smtp.mailfrom=LISTS.MITRE.ORG; mitre.mail.onmicrosoft.com; dkim=none (message not signed) header.d=none;mitre.mail.onmicrosoft.com; dmarc=none action=none header.from=mitre.org;
交货日期: Wed Apr 5 10:24:03 2017
List-help: <mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
List-owner: <mailto：cve-editorial-board-list-request@lists.mitre.org>
List-subscribe: <mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
list-unsubscribe: <mailto:CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
Sender: <owner-cve-editorial-board-list@lists.mitre.org>
spamdiagnosticmetadata：6CDB8BFC89744BD8BFEE511E3E65AA05
Spamdiagnosticoutput：1：2
线程索引: AQHSrhYkDELL+X14ukO7IIGxuV8kWA==
Thread-topic: CVE Board Meeting Minutes - 22 March 2017
User-agent：Microsoft-Macoutlook/F.20.0.170309

CVE木板Meeting

2017年3月22日，下午2:00等

CVE董事会于2017年3月22日通过电话会议开会。

出席董事会成员是：

Andy Balinsky (Cisco)

Harold Booth (NIST)

肯特·兰德菲尔德（英特尔）

Art Manion（CERT/CC）

Kurt Seifried（红色帽子/DWF）

Taki Uchiyama (JPCERT/CC)

戴维·沃尔赛（David Waltermire）（NIST）

Members of the MITRE CVE Team who attended the call are as follows:

丹·阿迪诺夫（Dan Adinolfi）

Jon Baker

克里斯·科芬

乔纳森·埃文斯（Jonathan Evans）

马特·汉斯伯里（Matt Hansbury）

乔治·蒂尔（George Theall）

议程

CVE董事会会议2017年3月22日

议程

2:00 – 2:05: Introductions, action items from the last meeting – Chris Coffin

2:05 - 2:25：工作组

战略规划-Kent Landfield

Issues

Actions

董事会决定

自动化 - Harold Booth/Kurt Seifried

Issues

Actions

董事会决定

2:25 – 2:50: CNA Update

DWF - Kurt Seifried

Issues

Actions

董事会决定

将军 - 丹·阿迪诺夫（Dan Adinolfi）

Issues

Actions

董事会决定

2：50 - 3:10：更新上游CNA的时间范围-Dan Adinolfi

3:10 – 3:30: CNA Report Card Template - Dan Adinolfi

3:30 – 3:55: Open discussion – CVE Board

3:55 – 4:00: Action items, wrap-up – Chris Coffin

Introductions and review of previous action items

安排了战略规划工作组的新常规时间。
包含要开发的CNA文档的GitHub分支与董事会共享。
RSA会议的观察摘要将发送给董事会。
董事会仍在开发CVE列表中包含服务的用例。

工作组

战略规划-Kent Landfield
- Issues
  - 战略规划工作组没有任何更新。
- Actions
  - The next Strategic Planning WG meeting will be April 6, 2017 at 2PM ET. Future meetings will be held the Thursday after the first Board meeting each month.
- 董事会决定
  - 没有其他董事会讨论。
Automation - Harold Booth
- Issues
  - The WG is still considering how to allow for bi-directional data flow of CVE Data between CNAs.
  - The WG is considering supporting the developing CVSS JSON spec.
  - 有必要在最小JSON规范中包括分配程序信息，尽管这并不应该阻止JSON格式向前推进。
- Actions
  - WG已接受JSON格式的当前最低规范草案，最近的修订中包括最近的更改。米特（Miter）要求董事会使用这种新格式批准接受提交意见的MITER。讨论将继续在董事会邮寄列表中。
- 董事会决定

CNA Update

DWF - Kurt Seifried
- Issues
  - DWF中的导师计划目前有三位导师。正在开发培训和参考文档。
- Actions
  - DWF and the Board should consider allowing Mentors to update the CVE ID list if they come across CVE IDs being used publicly but are still listed as “RESERVED” in the CVE ID list.
- 董事会决定
  - 没有其他董事会讨论。
将军 - 丹·阿迪诺夫（Dan Adinolfi）
- Issues
  - The Board had suggested that CVE should begin working with the Chinese government as soon as possible to avoid any political complications of introducing CVE into the Chinese market. MITRE is still looking to make that contact.
- Actions
  - MITRE met with Flexera Software, who has been on-boarded as a CNA.
  - Miter继续与JPCERT/CC合作，于5月23日至24日在东京组织CNA培训课程。
- 董事会决定
  - 没有其他董事会讨论。

CNA成绩单 - Dan Adinolfi

MITRE presented a draft template for the quarterly CNA Report Card to the Board. The Board accepted the current template and plans to update and revise it over time. MITRE will provide the metrics for the first quarter 2017 at the next Board meeting.

董事会建议，要创建一个更透明的环境，公共问题跟踪器将很有用。通过这样的事情，对CVE ID分配有疑问或评论的个人将能够发布这些内容，并将细节定向到适当的CNA。此外，董事会重申，应该有一种简单的方法将单个CVE ID与分配它们的CNA链接。最后，董事会建议，在CVE条目本身内包括有关CVE ID和CNA的元信息可能有助于自动化和众包准确指标的要求。这三个建议将来将在未来进行更充分的讨论。

Timeframe for Updating Upstream CNAs – Chris Coffin

The current CNA rules do not stipulate a specific time by which a CNA should update their upstream CNA after a CVE ID has been made public. MITRE asked the Board for guidance on the most time a CNA can wait. The Board suggested that CNAs should update their upstream CNAs within 24 hours of the publication of a CVE ID. This recommendation will be added to the list of updates to be considered for the next CNA Rules update.

Additionally, CVE IDs that have been reserved for long periods of time without any public assignment could be “REJECT”ed or labeled in some other way to indicate they are inactive in the CVE list. This idea will also be considered further.

Open Discussion - Dan Adinolfi

The Board was directed to the GitHub branch of the CVE repository that has placeholders and early drafts for CNA documentation. The first document to be taken on by the Board, a CVE 101 white paper, will be shared with the Board and developed in the two-week timeframe that was previously discussed.

提醒董事会，CVE现在有两个Twitter帐户（@cveannounce和@cvenew）和一个LinkedIn页面。在董事会会议上，@cveannounce有大约40个关注者，@cvenew有大约500个关注者，而LinkedIn页面大约有80位关注者。

董事会建议它应该开始计划董事会和CNA的另一场面对面会议。

Miter将在接下来的几个月中参加一些会议，以提高对CVE和CNA计划的认识，以鼓励参与并征求利益相关者的反馈。董事会建议，米特（Miter）分享他们的旅行计划，他们不能前往董事会，以了解他们可以在哪里出去提高知名度的想法。

董事会讨论了CNA将CVE ID分配给永远不会公开的问题是否应该是公认的做法。大多数董事会认为这是不可接受的，但是将在此主题上进行其他辩论。

动作项目，总结 - 克里斯·科芬（Chris Coffin）

The CNA Report Card for the first quarter of this calendar year will be provided to the Board by the next Board meeting.
The first document to be developed for the new CNA documentation will be shared.
RSA会议的观察摘要将发送给董事会。
董事会仍在开发CVE列表中包含服务的用例。

依恋：CVE董事会会议_3_22_17.docx
描述：CVE董事会会议_3_22_17.docx

上一条日期：回复：CVE-CNA JSON格式提案
下一个日期：CVE董事会会议4月5日议程
Previous by thread:回复：CVE-CNA JSON格式提案
Next by thread:CVE董事会会议4月5日议程
Index(es):
- Date
- Thread