[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的

CVE董事会会议记录 - 2017年5月3日

到：cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题：CVE董事会会议记录 - 2017年5月3日
从：“阿迪尼尔夫，丹尼尔·R” <dadinolfi@mitre.org>
日期：2017年5月31日，星期三18:53:11 +0000
接受语言：en-us
身份验证重分：spf = none（发件人IP是129.83.29.2）smtp.mailfrom = lists.mitre.org;mitre.mail.onmicrosoft.com;dkim = none（未签署消息）header.d = none; mitre.mail.onmicrosoft.com;dmarc = none action = none header.from = mitre.org;
交货日期：2017年5月31日星期三15:14：30
列表助手：<mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
列表所有者：<mailto：cve-editorial-board-list-request@lists.mitre.org>
列表订阅：<mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
list-unsubscribe：<mailto：cve-editorial-board-list-unsubscribe-request@lists.mitre.org>
发件人：<所有者cve-editorial-board-list@lists.mitre.org>
spamdiagnosticmetadata：6CDB8BFC89744BD8BFEE511E3E65AA05
spamdiagnosticOutput：1：2
线程索引：AQHS2J8M00NGDZ+QBEEC40SCPQ6EGQ ==
线主题：CVE董事会会议记录 - 2017年5月3日
用户代理：Microsoft-Macoutlook/F.22.0.170515

CVE董事会会议

2017年5月3日，下午2:00等

CVE董事会于2017年5月3日通过电话会议开会。

出席董事会成员是：

哈罗德·布斯（NIST）

Art Manion（CERT/CC）

肯特·兰德菲尔德（McAfee）

Kurt Seifried（红色帽子/DWF）

威廉·考克斯（黑鸭）

Pascal Meunier（Purdue）

斯科特·劳勒（LP3）

Dave Waltermire（NIST）

参加电话会议的MITER CVE团队的成员如下：

丹·阿迪诺夫（Dan Adinolfi）

克里斯·科芬

乔纳森·埃文斯（Jonathan Evans）

安东尼·辛格尔顿

乔治·蒂尔（George Theall）

议程

CVE董事会会议2017年5月3日

议程

2：00 - 2：05：上次会议的介绍，动作项目 - 克里斯·科芬（Chris Coffin）

2：05 - 2：35：面试委员会成员候选人 - CVE董事会

2:35 - 2:55：工作组

战略规划 - 哈罗德·布斯/艺术品/肯特·兰德菲尔德

问题

动作

董事会决定

自动化 - Harold Booth/Kurt Seifried

问题

动作

董事会决定

2：55 - 3:20：CNA更新

DWF - Kurt Seifried

问题

动作

董事会决定

将军 - 丹·阿迪诺夫（Dan Adinolfi）

问题

动作

董事会决定

3:20 - 3:30：2017年第一季度的CNA报告卡 - Dan Adinolfi

3：30 - 3：40：正式的CNA规则更改 - 公开使用的CVE ID的24小时通知限制-Chris Coffin

3：40 - 3：55：讨论：三个潜在主题：

1）严格来说，CNA是否应该将CVE ID分配给捆绑的第三方组件，而该组件不在其范围内，严格来说？例如，他们应该通过DWF分配OSS吗？

2）我们将考虑未经董事会许可的工作组是否可以运行飞行员，以及应以什么形式出现该许可？

3）有一个怀疑他们不知道如何与董事会互动的大多数人（例如，只是发送电子邮件随机成员吗？），因此与MITER联系并通过MITER进行此操作似乎是合理的，但也可能存在潜在的利益冲突。董事会应启动可能需要修复的过程/过程内容的洗衣清单。

3：55 - 4：00：动作项目，总结 - 克里斯·科芬（Chris Coffin）

面试委员会成员候选人-CVE董事会

CVE董事会采访了一名准董事会成员。

介绍和审查以前的动作项目

匿名CNA报告卡仍在开发中。
有关惠普披露政策的后续行动
- CNA应该对他们将在范围内分配的漏洞进行自我目的。在下一项修订中，这将作为对CNA规则的建议更改。

工作组

战略规划 - 库尔特·兰德菲尔德
- 问题
  - 战略规划工作组没有任何更新。
- 动作
  - 下一次战略规划WG会议将重新安排。涂鸦民意调查将与董事会共享，以便在新时刻降落。每隔一周，在董事会会议对面。民意调查将挑选一天和时间。
- 董事会决定
  - 没有其他董事会讨论。
自动化 - Harold Booth
- 问题
  - WG举行了会议，2017年5月1日，会议中的一些注释已发布到自动化WG邮件列表中。
  - WG正在讨论用于CVE条目状态的术语。
  - WG正在讨论超出当前指定最低标准的CVE ID的最小数据集。
- 动作
  - WG充实了使用GIT进行信息共享实验的计划，并将与董事会分享。
- 董事会决定
  - 董事会需要清除双向共享飞行员。WG将向董事会名单上的共享飞行员发布提案，并给董事会一周以审查它。

CNA更新

DWF - Kurt Seifried
- 问题
  - 更多CVE请求将在本周DWF提交。
  - 一些CVE ID请求者没有回复DWF的电子邮件（尤其是那些要求接受CVE使用条款的电子邮件），这正在减慢发布过程。DWF正在寻找更可靠的方法来做到这一点。
- 动作
  - 下周将开发更多的基础设施。
- 董事会决定
  - 没有其他董事会讨论。
将军 - 丹·阿迪诺夫（Dan Adinolfi）
- 问题
  - IOACTIVE和弹性现在是CNA。
  - 莫齐拉（Mozilla）对第三方提出的一些问题的回应缓慢。这可能会在下一次会议上成为董事会议程项目。
- 动作
  - 没有任何。
- 董事会决定
  - 没有其他董事会讨论。

CNA报告卡更新 - Dan Adinolfi

董事会在上次董事会会议上对CNA报告卡进行了审查，并在进行其他电子邮件讨论之后，董事会有机会进行后续讨论。董事会认为，除了建议与CNA共享报告卡的匿名版本外，不需要其他讨论。Miter正在开发该版本的成绩单，并希望在下一次董事会会议之前为董事会提供草案。

更改CNA规则以执行24小时发布期望 - Dan Adinolfi

将开始针对CNA规则的审核周期，并包括24小时规则。这应该是在6月开始的3个月开发过程。

工作组流程 - CVE董事会

董事会工作组的任何重大组织开发都应被视为CVE计划的任何其他更改。因此，在开始此类努力之前，有关的工作组应在声明中向公共董事会列表发布描述，包括该努力将遵循的目标和一般过程。然后，董事会将有机会讨论这项工作，就此达成共识，并在特定的时间限制内接受或拒绝该提案。

此过程将在下一次宪章修订期间包含在董事会宪章中。

与CVE - CVE董事会的通信

CVE计划将利益相关者指导到CVE请求Web表单或cve@mitre.org用于与CVE程序进行交流。董事会想知道那些希望直接到达CVE董事会的人是否需要单独的联系方法。几乎没有通过常规沟通方法进行此类沟通，董事会决定反对这一点。

相反，Miter将与董事会分享我们在与利益相关者的沟通中看到的一些一般信息和趋势。

动作项目，总结 - 克里斯·科芬（Chris Coffin）

自动化WG将通过电子邮件发送董事会以获得自动化WG飞行员的许可。
Miter将在下周中旬提供匿名报告草案。
Miter将开始努力为6月的董事会审议制定CNA规则的更新。
在未来的董事会会议中，MITER将简要介绍其运营中浮出水面的趋势或问题，并与社区互动。

依恋：CVE董事会会议2017年5月3日。
描述：CVE董事会会议2017年5月3日。

后续行动：
- 回复：CVE董事会会议记录 - 2017年5月3日
  - 从：“ Landfield，Kent”