Re:试点活动通知CVE汽车工作组

2017年5月9日,星期二,在27点,Waltermire David a .(美联储)<david.waltermire@nist.gov>写道:

谢谢你哈罗德为反馈提供这样的机会。

最后我提出董事会称,我担心使用GIT作为CVE条目的内容管理解决方案,因为它有一些局限性。

1)它是未知的,如果CNA社区想要使用这个解决方案。如果他们最终不会采用这种方法,那么飞行员都不可能成功。

我知道在开源社区我们所有git的基本上,git网关也有各种各样的东西。

2)一个集中的内容管理解决方案可能不适合一个层次组织区域。我们通常希望CVE信息流向根,然后到列表中。并不是所有CNA层次可能希望发布集中。它可能是更好的观察联合的方法可能更好结合这种类型的组织结构。也许这应该是驾驶同时,允许作一比较?

CNA的另一个方面是做质量控制/执行他们自己的规则,如有最低CVE规范,和其他CNA可能需要更多的机会(例如DWF需要显式的影响,必须公开和URL的访问没有登录/网关访问它们)。所以我认为我们会有一个出版模式,CNA只是发布他们的父母,直到它击中横切。

3)GIT要求回购的一个副本被下载,所有的历史可以相当大。历史可能的一些修剪,减轻这个问题。这应该是调查的一部分飞行员。如果使用GitHub我相信有100 MB的文件大小限制和1 GB软限制回购和2 GB硬限制,我们有2 tb的限制。这也可能造成一个问题。

我们可以很容易地碎片回购(已经由DWF,到每年1000块)。

4)GIT没有办法搜索条目。一个独立的服务需要建立在支持这一点,这就不利于部署。

这是据我所知的范围。对我来说,需求归结为:

1)必须支持版本控制(做了哪些条目时,为什么?)

2)必须支持签署我们有强烈的所有权链(我不想承诺JSON签署但尽可能多的解决方案使JSON而不是人类可读)

3)必须支持协作(如多个CNA的使用相同的系统,我不会建立一个数据存储/ CNA)

4)必须支持某种程度的代表团(例如我可以允许CNA进一步授权访问,所以我不是一个阻塞点)

5)必须支持推的数据,我不想去打猎了CVE条目!(斜方知道这是多么有趣)

git满足上述所有,免费托管提供商的奖金(github)和多个其他托管提供商(gitlabs)和能力自我主机(比如gitlab使用软件,或设置如果绝对需要我自己)。

我相信还有其他问题我失踪。

我想看看下面发生在推进这个飞行员:之前

1)讨论CNA列表上的GIT的方法探索与它的使用如果有重大关切在前进。

我主要担心的是git存储库的大小,通过分片来解决。

2)讨论自动化WG /董事会名单内部对替代方法可能会驾驶。这些也应该讨论CNA名单之前推进试点。

实际提出替代方案是什么?我听说过一些atom / rss联合协议,但这意味着人们必须运行一个系统,服务器会定期把数据。

谢谢,

戴夫

来自:owner-cve-board-auto-list@lists.mitre.org[mailto:owner-cve-board-auto -list@lists.mitre.org]代表展位,哈罗德(美联储)
发送:星期一,2017年5月08年,5:09点
:cve-editorial-board-list@lists.mitre.org
答:cve-board-auto-list <cve-board-auto-list@lists。mitre.org>
主题:试点活动通知CVE汽车工作组

这个发送失败了我们的欺诈行为检测检查,不得他们似乎是。了解欺骗

反馈

每讨论最后董事会称它已经要求所有WGs发送一个简短的通知董事会通知董事会和董事会提供一个机会给输入任何飞行员。

CVE自动化工作小组提出运行试点使用私人MITRE-hosted GIT存储库调查周围的需求更新和检索CVE的JSON数据的自动化。我们不仅希望了解哪些特性是必要的支持“管道”发送和接收数据,还需要哪些属性和元数据的CVE格式支持自动化。参与者将横切和CVE汽车工作组成员的目标参与者使用GIT存储库的格式更新他们的cf和参与者通过GIT存储库更新和接收更新的信息。参与者将唯一访问GIT存储库。所有参与者都应该明白,这只是一个飞行员,因此不能保证任何最终的解决方案会像飞行员。首次提出试点计划运行不晚于8月21日,如果我们需要扩展飞行员回到董事会请求延期。

除非有持续反对飞行员将在5月15日正式开始^th(接下来的CVE汽车WG调用)。

- - -

Kurt Seifried
kurt@seifried.org