在横切的主题/董事会透明度

来:CVE编辑委员会<cve-editorial-board-list@lists.mitre.org>
主题:在横切的主题/董事会透明度
从耶利哥:<jericho@attrition.org>
日期:2017年5月11日星期四01:55:14 -0500
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.3) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = attrition.org;
交货日期:2017年5月11日07:49:03星期四
重要性:高
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:6 cdb8bfc89744bd8bfee511e3e65aa05
Spamdiagnosticoutput:1:2
用户代理:高山2.00 (LNX 1167 2008-08-23)

主教法冠,

我最后的邮件关于谷歌/机器人。三种问题表明,斜接 不是他们应该与董事会一样透明。这几乎是不可能的 第一次发生了这样的一个问题。比如“3000 +拒绝”注意到我们 昨天收到了,很多问题,NVD说话了, 有以前的事件:

非常重要的信息的编辑委员会[1]CVE以来世界已经发生了巨大变化在1999年被释放,我们正在迅速准备好满足安全的需要,研究人员需要访问漏洞id。为此,横切将开始一个试点项目,解决快速反应CVE-IDs星期一,2016年3月21日。我们希望强调,这绝不是一个试图绕过编辑部而是一个实验一步联邦社区脆弱性ID的方法被讨论在过去的几年中。我们将与董事会密切合作,评估的结果飞行员和共同努力,建立一个长期的解决方案,继续扩大覆盖面前进。试点项目的细节提供了下面的新闻稿,将发布到CVE-ANNOUNCE邮件列表和CVE网站今天晚些时候。重要的是要注意,这种方法被选为避免冲突与现有的CVE目前操作过程,这下的id发表联合方案在飞行员不会分析和纳入CVE列表或提要。不会有影响外部操作;所有作用的漏洞将像他们现在来处理。

如果我们还记得,这个决定是不给董事会。一旦 董事会得知,有直接的质疑和批评[2]。只有 后斜方首先说他们愿意讨论这个问题/改变 与董事会[3]。

本着这一精神,显示两次后斜方显然不是 透明的,烦恼的第一和第二 industry-impacting改变,我想给董事会带来的注意 另一个地方。这一个比我们所看到的也许更重要。

在2017-04-10,我的一个* *邮件很多CVE之外完成的 董事会名单,通常在打破挑战他们自己的政策, 审计质量下降的CVE作业,或类似的问题,我 提出一个“小”的观点在其中的一个电子邮件。相关的可以 在这个电子邮件。

最重要的部分是,我叫横切可以说是什么 CVE的历史上最大的事件“没有信心”和担忧 CVE的管理。事实上我没有听到它从中央社 有趣,因为这应该是董事会的关注 立即由主教法冠。当我把它在电子邮件,我告诉他们,我 预计一个邮件向董事会与横切两天后的声明。

相反,斜方选择不把它向董事会的关注。相反, 他们回复我非常长的邮件,接管了一个小时来写, 详细很多例子支持我的语句显示CVE 未能遵守自己的抽象规则,以及其他规则, 说:

首先,你把很多东西在你的信息都很重要,都应该充分讨论和透明的。我们鼓励您分享这个消息板我们可以讨论它与整个板的输入。我们也可以提出,如果你愿意开始谈话。我们鼓励您分享这个消息板我们可以讨论它与整个板的输入。

因为我明确表示“我希望邮件向董事会和CNA列表不迟 比星期三”,注意板*和* CNA列表,他们 延期,我把它在列表是不可接受的。特别是考虑到 严重的话题。我等了几个星期,他们要带 自己,他们没有。

很简单,这是一个缺乏透明度纳税人资助的, 政府倡议,影响整个IT行业。这不是 可接受的,我们都应该得到更好的。

我正式要求,列表,之间的所有通信 斜方和国会被发送到列表。任何信件 根据《信息自由法》,而不是特权,和许多其他方面的横切 CVE的管理(如精确预算、工资支出)。给你的 过去的希望是透明的,这是你的恢复的机会 一些相信这种说法。

布莱恩[1]https://cve.mitre.org/data/board/archives/2016-03/msg00017.html[2]https://cve.mitre.org/data/board/archives/2016-03/msg00016.htmlhttps://cve.mitre.org/data/board/archives/2016-03/msg00015.html[3]https://cve.mitre.org/data/board/archives/2016-03/msg00019.html- - - - - - - - - - - - - - - - - - - - - -转发消息:耶利哥< jericho@attrition.org >:“Adinolfi, Daniel R”< dadinolfi@mitre.org >答:“棺材,克里斯”< ccoffin@mitre.org >,常见的漏洞和风险敞口< cve@mitre.org >日期:星期一,2017年4月10 02:37:13 -0500 (CDT) [. .]https://energycommerce.house.gov/万博下载包news-center/letters/letters-dhs-and-mitre-regarding-performance-critical-cyber-database

国会正在调查斜方和不足。这是相当大的 万博下载包新闻,我错过了这个完全直到CNA给我带来了这个 的关注。他们坐在这三天之前他们告诉我,开始 问的问题。

请考虑以上。

现在已经长大,我希望董事会和CNA的邮件 不晚于周三对这个列表。董事会值得一位官员 从斜方解决这些问题的答复。至少一个CNA而言 关于这个,不愿意把他们的担忧直接斜接。我们都 应该知道是怎么回事。

[. .]

跟进:
- RE:横切的主题/董事会透明度
  - 来自:“棺材里,克里斯”< ccoffin@mitre.org >