(日期:][日期下][线程:][线程下][日期索引][线程索引]

再保险:CVE董事会会议纪要- 3 2017年5月

库尔特Landfield吗?我猜你是只有一半的困惑。但是哪一半?:-)

- - -

肯特Landfield

817-637-8026

kent_landfield@mcafee.com

来自:< owner-cve-editorial-board-list@lists.mitre.org >代表“Adinolfi, Daniel R”< dadinolfi@mitre.org >
日期:星期三,2017年5月31日下午1:53
:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:CVE董事会会议纪要- 3 2017年5月

CVE董事会会议

2017年5月3日,美国东部时间下午两点

CVE董事会通过电话会议召开了会议,2017年5月3日。

董事会成员参加:

哈罗德·布斯(NIST)

马尼恩的艺术(CERT / CC)

肯特Landfield (McAfee)

Kurt Seifried (Red Hat / DWF)

威廉·考克斯(黑鸭子)

帕默(普渡)

斯科特·劳勒(LP3)

戴夫Waltermire (NIST)

横切CVE团队的成员参加了调用如下:

丹Adinolfi

克里斯棺材

乔纳森埃文斯

安东尼单例

乔治Theall

议程

CVE董事会会议3 2017年5月

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 - 2:面试董事会成员候选人——CVE董事会

2点,盘中一度:工作组

战略规划马尼恩-哈罗德·布斯/艺术/肯特Landfield

问题

行动

董事会的决定

自动化-哈罗德·布斯/ Kurt Seifried

问题

行动

董事会的决定

盘中一度- 20:CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-丹Adinolfi

问题

行动

董事会的决定

3 - 3:CNA报告卡2017年第一季度后续-丹Adinolfi

3 - 3:40分正式CNA规则变化——24小时通知限制在CVE ID使用公开——克里斯棺材

凌晨9 - 55分钟:讨论:三个潜在的主题:

1)应该CNAs CVE id分配给捆绑第三方组件,组件不在其范围,严格地说?他们应该不是分配通过DWF OSS,例如?

2)我们将考虑是否工作组可以运行飞行员没有董事会的许可,和在什么形式应该许可来吗?

3)有怀疑,大多数人他们不知道如何与董事会(如邮件随机成员?),所以联系斜方和做它通过横切似乎是合理的,但也有潜在的利益冲突。董事会应该开始一箩筐的过程/程序可能需要解决的事情。

55 - 4:行动项目,总结——克里斯棺材

采访董事会成员候选人——CVE董事会

CVE董事会采访了一位未来的董事会成员。

介绍和回顾以前的行动项目

  • 匿名CNA报告卡仍处于开发阶段。
  • 后续关于惠普的信息披露政策
    • CNAs应该self-attest什么样的漏洞就分配在其范围。这将包括提出改变CNA规则在未来修订。

工作小组

  • 战略计划-科特Landfield
    • 问题
      • 从战略规划工作组没有更新。
    • 行动
      • 未来战略规划工作组会议将改期。涂鸦的一项民意调查将共享与董事会降落在一个新的时间。每隔一周,相反的董事会会议。调查将选择一个日期和时间。
    • 董事会的决定
      • 没有额外的董事会讨论。
  • 自动化——哈罗德·布斯
    • 问题
      • 工作组2017年5月1日有一个会议,会议发布的一些笔记自动化WG邮件列表。
      • 工作组讨论的术语用于CVE条目的状态。
      • 工作组正在讨论最小数据集CVE IDs超出当前指定的最低标准。
    • 行动
      • 工作组充实的计划一个信息共享实验使用git和董事会将分享这个。
    • 董事会的决定
      • 董事会需要明确的双向共享试点。工作组将向董事会建议共享试点名单,给董事会一个星期复习它。

CNA更新

  • DWF——Kurt Seifried
    • 问题
      • 更多的CVE DWF本周将提交的请求。
      • 一些CVE ID请求者不回复DWF的电子邮件信息(特别是那些要求接受使用条款的CVE),发布过程放缓。DWF正在寻找更可靠的方法。
    • 行动
      • 更多的基础设施将在下周被开发。
    • 董事会的决定
      • 没有额外的董事会讨论。
  • 通用-丹Adinolfi
    • 问题
      • IOActive和弹性现在的美国。
      • Mozilla一直反应迟钝一些与斜方从第三方提出的问题。这可能成为一个董事会在下次会议议程项目。
    • 行动
      • 一个也没有。
    • 董事会的决定
      • 没有额外的董事会讨论。

更新——丹Adinolfi CNA报告卡

董事会审查后CNA报告卡在过去的董事会会议,讨论一些额外的电子邮件后,董事会被给予一个机会有一个后续的讨论。董事会认为不需要额外的讨论超出了建议一个匿名版本的成绩单必须共享。斜方正在开发版本的成绩单,希望有空草案向董事会在下次董事会会议。

改变CNA规则执行24小时发布的期望——丹Adinolfi

将开始CNA的审查周期规则,包括24小时规则。这应该是6月开始3个月开发过程。

工作小组的过程——CVE董事会

由董事会任何重大、组织发展工作小组应被视为任何其他变化CVE的程序。因此,在这样的努力开始,工作小组的帖子的描述应该努力向公众董事会名单的声明,包括总体目标和过程的努力。董事会将有机会讨论,达成共识,要么接受或拒绝这个建议在一个特定时间限制。

这一过程将包括在董事会章程在接下来的章程修订。

通信与CVE - CVE董事会

CVE程序指导CVE请求web表单或利益相关者cve@mitre.orgCVE的交流项目。董事会不知道是否需要一个单独的联系方法,对于那些想直接到达CVE董事会。几乎没有这样的通信通过定期沟通方法,董事会决定在此。

相反,横切与董事会将分享一些一般信息和趋势,我们看到在我们的通信与利益相关者。

行动项目,总结——克里斯棺材

  • 自动化WG邮件董事会会允许自动化WG飞行员。
  • 主教法冠将提供匿名下周中期报告草案。
  • 主教法冠将致力于创建一个更新6月CNA董事会审议规则。
  • 在未来的董事会会议,横切将提供一个简短的总结趋势或问题表面的操作与社区工作和接口。

页面最后更新或审查:2017年6月1日