再保险:从4月17日的会议笔记

通知你,向董事会发布列表。以前我错误地发送邮件错误的别名。

我提出这类问题,因为我们正处于一个十字路口,至于决定工作小组将如何运作。我们做出的决定将建立一个先例。因为有工作小组是一个新的机制,我宁愿宁可谨慎。我宁愿我们有弱工作组没有权威前进,比工作组有广泛的权力,可以采取独立的董事会。我认为董事会应该授权的任何活动,需要从多个组织资源的投资,或将导致公共工作产品的生产。我们可以决定改变这个未来,但恕我直言,我们应该这样做,只有一次我们更好地理解WGs将如何工作。

至于哈罗德的问题,我认为需要做两件事情:

1) 任何工作小组活动,需要从多个组织,实现资源的投资,或将导致公共工作产品的生产应该向董事会提出快速总结项目的列表,谁将参与,影响将是CVE社区。

2) 董事会应该讨论名单上的项目和解决任何问题之前,前进。

我不认为我们需要投票。这一过程侧重于建立的共识。在我看来就足够了。这将有助于确保更大的一组利益相关者咨询之前前进。

想法吗?

问候,

戴夫

来自:展位,哈罗德(美联储)
发送:星期五,2017年4月21日下午6点
:Landfield,肯特< Kent_Landfield@McAfee.com >;Kurt Seifried < kurt@seifried.org >
答:Waltermire David a .(美联储)< david.waltermire@nist.gov >;cve-board-auto-list < cve-board-auto-list@lists.mitre.org >;owner-cve-editorial-board-list@lists.mitre.org
主题:再保险:从4月17日的会议笔记

我不确定那更被要求自:

一) 总结会议发布的CVE Auto-WG列表——这允许工作组名单上的每个人都参与

b) 在CVE董事会周三这个活动被提及和描述的调用有提问的机会

从大卫我的理解是,他之前要求任何WG着手任何形式的试验/测试CVE董事会应该被通知到,并且有参与的机会。我曾经认为工作组将会进行一个或多个飞行员收集信息,发现问题和发展可能的解决方案。一旦工作组有一些选项,这些将提交给董事会,董事会会批准或说“鱼”希望额外的指导工作小组在后者的情况下。

我看到参数的方法,并将继续然而董事会认为是最好的。我认为这是一个健康的讨论,以便更好地识别WGs应该如何操作。

问候,

哈罗德

来自:Landfield,肯特mailto: Kent_Landfield@McAfee.com]
发送:星期五,2017年4月21日19点
:Kurt Seifried <kurt@seifried.org>
答:Waltermire David a .(美联储)<david.waltermire@nist.gov>;布斯,哈罗德(美联储)<harold.booth@nist.gov>;cve-board-auto-list <cve-board-auto-list@lists.mitre.org>;owner-cve-editorial-board-list@lists.mitre.org
主题:再保险:从4月17日的会议笔记

这是一个问题。我认为需要向董事会读出一些描述努力,时间盒,然后回应与实验的结果。不确定需要列出每个细节但远远超过我们正致力于自动化分发数据。:-)

- - -

肯特Landfield

817-637-8026

kent_landfield@mcafee.com

来自:Kurt Seifried <kurt@seifried.org>
日期:星期五,2017年4月21日下午4:02点
:肯特Landfield <Kent_Landfield@McAfee.com>
答:大卫Waltermire <david.waltermire@nist.gov>,“亭,哈罗德(美联储)”<harold.booth@nist.gov>,cve-board-auto-list <cve-board-auto-list@lists.mitre.org>。”owner-cve-editorial-board-list@lists.mitre.org" <owner-cve-editorial-board-list@lists.mitre.org>
主题:再保险:从4月17日的会议笔记

但在什么级别?我们有运行每个技术选择过去吗?或者我们可以简单地说“我们致力于自动化包括如何分配数据”,然后玩各种解决方案(git、rss、atom、消息队列、twitter等),看看工作,哪些不?

库尔特

在2017年4月21日13:52,Landfield,肯特<Kent_Landfield@McAfee.com>写道:

活动的工作小组应该是董事会的延伸活动,但受到董事会的同意,我重复声明并同意…

真正决定在董事会名单。

· WGs需要保证董事会已经意识到他们在做什么,他们正在决定。

· 工作组的决定需要带回来的董事会的形式建议董事会决定。

· WGs应该提供一个报告CVE董事会名单保证任何决策显然是认定为建议。

· 董事会将有机会,对于一个指定的时间,审查的建议。如果董事会成员有问题或问题,他们将要求澄清和讨论需要确保共识的一种方式或另一个。在许多情况下,可能不需要澄清或讨论。在这种情况下,如果指定的时间流逝,推荐(s)被认为是批准。沉默导致验收……

- - -

肯特Landfield

817-637-8026

kent_landfield@mcafee.com

来自:<owner-cve-board-auto-list@lists.mitre.org代表David Waltermire > <david.waltermire@nist.gov>
日期:星期五,2017年4月21日下午一点
:Kurt Seifried <kurt@seifried.org>
答:“布斯,哈罗德(美联储)”<harold.booth@nist.gov>,cve-board-auto-list <cve-board-auto-list@lists.mitre.org>。”owner-cve-editorial-board-list@lists.mitre.org" <owner-cve-editorial-board-list@lists.mitre.org>
主题:再保险:从4月17日的会议笔记

下面的评论内联。

谢谢,

戴夫

来自:Kurt Seifried [mailto: kurt@seifried.org]
发送:星期五,2017年4月21日29点
:Waltermire David a .(美联储)<david.waltermire@nist.gov>
答:布斯,哈罗德(美联储)<harold.booth@nist.gov>;cve-board-auto-list <cve-board-auto-list@lists.mitre.org>;owner-cve-editorial-board-list@lists.mitre.org
主题:再保险:从4月17日的会议笔记

2017年在星期五,4月21日上午10:10,Waltermire David a .(美联储)<david.waltermire@nist.gov>写道:

虽然我明白你正在讨论的只是一个“试点”,在现实中我们都看到,总有压力,建立驾驶实现最终的解决方案。这往往是因为权宜之计,不愿做任何再造。考虑这个问题,我有一些保留意见使用GIT作为解决方案的一部分。

1)我们没有咨询整体CNA社区,看看这是一个可行的解决方案。如果我们的想法是拒绝CNA社区,理论上的时间和资源花在“试点”可能被浪费。

2)这个解决方案似乎几乎完全集中在获取数据从CNAs横切。虽然这是必要的,我们应该考虑解决方案,达到同时也支持更广泛的传播到其他CVE消费者(如供应商、产品客户,NVD,等等)。GIT是有限的在它能做什么,似乎我们优化“快速”和“便宜”“好”和“成本”。我希望这些权衡与董事会讨论采取任何重大行动前和社区。可以说,“飞行员”不是一个重大行动,但正如我之前提到的,“飞行员”经常成为多目的是什么。

你可以非常克隆并保持一个git存储库时,这是非常大的回购(例如Linux内核?)。这也使得它可以添加前端,如你可以摄取git并通过RSS例如,或任何其他的格式/消息队列等数据。我们也还没有运行一个调查社区/问他们想要什么,更重要的是必须支持这个的人愿意做(DWF志愿者工作,我挠自己的瘙痒,如果他们还抓你的,太好了,如果没有,我建议你参与!)。

[寒鸦:可以添加到最前端的方法。我的观点是git只能解决部分问题。你还需要添加前端。如果使用RSS / Atom,解决方案可以支持变更控制,联合,直接访问。这种解决方案提供了更多的功能比git这样,可能是“好”和“成本”,虽然前期投资可能是慢和更加昂贵。

3)根据CVE董事会章程,工作组在本质上是咨询。我相信任何飞行员或实验与祝福应该进行更大的CVE董事会。这个讨论还没有发生,希望将由于这个邮件。

我不同意这一点。董事会现在必须签署每一个实验的每一个工作小组吗?

[寒鸦:我认为是的,因为这样的一个实验是一个CVE-related活动。)

的全部意义是抽象细节,理想情况下,WG消失,一些工作(讨论、编码,实验操作,不管),然后回到董事会一些结果/建议。

[寒鸦:你要证明我的观点。董事会最终负责。所以实验应该跑过去。这是咨询意味着什么。)

例子:在上周我已经决定使用谷歌电子表格作为DWF CVE的管道数据和工作流已经改变了几次在那一周,如现在的样子:

[寒鸦:顺便说一句,你正在调查这是好事。那就是说,你在做什么是一个人活动。你不需要问许可董事会做作为一个个体。如果你把这个工作组或董事会,还是在做CVE实验状态更改。git以来我认为实验是作为工作组的协调活动,然后实验是一个板的问题,需要董事会批准。)

Web表单与CVE请求(公共)(*)

检查电子邮件是否已经接受使用条款:

如果是继续分裂合并,将“接受”文件中的数据

如果没有发送的使用电子邮件,等待回复,数据在“等待接受金银铜”文件,该文件被重新审视,…超时?我还没有一个好的答案,决定。

金银铜接受文件

分裂/合并cf和一般检查正确性(例如一些缺失的数据/等等)——直接编辑在谷歌电子表格,似乎工作得很好,可能需要长期分裂由请求者如果我们有很多,谁知道呢。

如果CVE形成良好和滑动/合并然后生成JSON条目(没有CVE ID)和电子邮件请求者确认他们发送,它是正确的,等待回复,数据在“等待数据确认”文件,该文件被重新审视,…超时?我还没有一个好的答案,决定。

如果没有形成良好的CVE然后请求更多的信息从请求者,等待回复,数据在“等待更多细节”文件,该文件被重新审视,…超时?我还没有一个好的答案,决定。

等待数据确认

我们现在有一个完整的CVE理想的情况下,从一个人接受了使用条款,他们证实了CVE请求,它是正确的,现在我们分配CVE,电子邮件发给他们,向斜方提交CVE数据。

正如你所看到的我还有些主要开放循环(例如我目前有156封电子邮件(有些人有多个地址),接受使用条款,54岁,我仍然在等待一个回复),我只是分裂/合并数据和一旦我电子邮件,我们将会看到什么是反应率。我不确定如何处理“孤儿”(他们公众开放,以防并接受使用条款的人想研究/重写并提交它吗?)等等。

上面当然受到改变当我获得运营经验和了解作品/不工作。

[*]禁运请求流可能会看起来一样但使用单独的文件集,比公众更受限制的访问请求。

如果我必须要求董事会多次好每一个实验我将窃听他们一个星期。

想法吗?

问候,

戴夫

来自:owner-cve-board-auto-list@lists.mitre.org[mailto:owner-cve-board-auto-list@lists.mitre.org]代表展位,哈罗德(美联储)
发送:2017年4月18日,星期二,11:18
:cve-board-auto-list <cve-board-auto-list@LISTS.MITRE.ORG>
主题:从4月17日的会议笔记

这个发送失败了我们的欺诈检测检查,不得他们似乎是谁。了解欺骗

反馈

我昨天已经指出随着会议的进行,但不幸的是我有一个不幸的事故,失去了这些笔记。下面是一个重建从内存中如果有人任何他们想添加或如果我错过了什么请这样做。

每个请求的CVE委员会工作组开始深入自动化CVE的共享数据的问题。

初步讨论提到的一些问题与当前CVE JSON格式。

——一个主要问题是,最小的格式要求太多的信息表示拒绝cf和保留状态。方式来处理这一问题可能是文档的最小格式是cf公立和每个国家可能有自己的最低限度的格式。这也许将JSON模式复杂化,很难在一般意义上使用的模式。

——谈论国家长大的问题当前文档有点稀疏,可以使用一些额外的细节和解释。

行动:需要确定谁能改善这个文档和工作时间表

讨论然后发展到如何解决问题的CVE漏洞共享。最初的讨论是如何保持必须的相关的信息。换句话说提供功能允许选择性检索或过滤数据的基于某些字段或数据点。可能的数据点是:

——CNA源

——产品的影响

——供应商的影响

——发布日期

——最后修改日期

决定设置过滤和选择性检索分开,只是设置的“管道”,允许光滑的交换数据。一个简单的几个试点工作组成员就与git作为交换的机制讨论和维护。简要提到的其他方法包括正在进行的工作的IETF英里WG ROLIE但是那些选择在这个时候不感兴趣。我知道在以前讨论其他联合格式也提到(艺术?)如ATOM和RSS但没来。

而言,我们要完成试点两个主要目标是识别,与一个可能的第三“拉伸”的目标。

——允许僧帽摄取从CNAs CVE信息

——允许CNAs(和其他人)来接收更新CVE信息

额外的目标:

——允许NVD更新/提供分析信息(CVSS CWE, CPE等)…

允许摄入的基本过程:

- - - - - -GIT存储库将设置填充CVE JSON格式的信息

- - - - - -CNA将克隆/叉这个库

- - - - - -CNA将更新/本地存储库的变化

- - - - - -CNA将问题一个pull请求变更

- - - - - -横切过程pull请求

允许其他人接收更新的基本过程:

- - - - - -克隆/叉斜方提供存储库

- - - - - -初始化数据

- - - - - -获取接收更新

- - - - - -处理更新文件

讨论也有关于质量的提供的信息必须在这些更新以及如何评估这种质量可以自动化。

——当前格式自动生成描述仍然允许太多的自由

图米——哈罗德的电子表格和Vulntology工作可以自动化方法的例子

自动化的质量被推迟,直到我们能够展示分享。

临时人工评估的质量将根据需要和常见问题进行识别和标准用来评估将被捕获,以找出一种方法来自动化。

结束的时候叫斜方同意提供信息访问他们的GIT存储库(下图)和两个工作组成员同意参与这个实验来测试问题。

GIT访问指令:

乔治已经设置一个GIT存储库文件的集合,每个CVE,一个基于JSON 4.0规范草案。

子目录中的文件被组织基于今年的id和进一步分为目录

基于数字部分,没有目录持有超过1000个文件。

例如,Fortinet横切一个JSON文件,发送信息上周cve - 2017 - 3125;他们的提交以及报价,添加在2017/3xxx / cve - 2017 - 3125. - json。

GIT回购是托管在横切CoDev设施,基于Atlassian BitBucket都/储备。

获取绑定到一个帐户必须和董事会成员应该在横切的握手服务。

假设有一个帐户,他们需要访问https://login.codev.mitre.org并登录使用或然数按钮,

它会自动创建一个帐户在横切的CoDev服务。

之后,他们必须让乔治Theall知道他们所做的,他会给他们提供回购(CVEPROJECT /回购/ cvelist)。

如果你有任何问题关于如何访问GIT请联系乔治Theall (gtheall@mitre.org)。

- - -

Kurt Seifried
kurt@seifried.org