RE:改变CVE程序RE:董事会邮件列表和电话

贝弗利,

谢谢你的协调。我想说,在大多数情况下,我们使用整个2小时。如果我们提前完成,我们有时做的,我们将结束电话。

克里斯

来自:owner-cve-editorial-board-list@lists.mitre.org [mailto: owner-cve-editorial-board-list@lists.mitre.org]代表贝弗利雀
发送:周日,2017年7月9日6:04点
:Kurt Seifried < kseifried@redhat.com >;耶利哥< jericho@attrition.org >
答:cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:RE:改变CVE程序RE:董事会邮件列表和电话

作为一个新成员,我想知道如果我们真的需要一个2小时的会议…如果是这样的话,很好但我把它,因为它可能是别人不参加定期的原因之一。以2小时为一个会议可能是一个挑战,取决于vulns那天发生了什么。我宁愿1小时每星期…也许…更多的动力/连续性。

刚从新手的想法。

问候,

贝弗利M雀,PMP PSIRT项目经理 产品安全办公室 7001年开发驱动 办公室3 n-c1 Morrisville数控27560	+ 1 919 294 5873 beverlyfinch@lenovo.com
Lenovo.com 推特|脸谱网|Instagram|博客|论坛

来自:owner-cve-editorial-board-list@lists.mitre.org(mailto: owner-cve-editorial-board-list@lists.mitre.org]代表Kurt Seifried
发送:星期五,2017年7月7日截止点
:耶利哥
答:CVE编辑委员会
主题:Re:改变CVE程序Re:董事会邮件列表和电话

在星期五,7月7日,2017年在35点,耶利哥<jericho@attrition.org>写道:

换了个话题,让这个话题更容易跟踪。

虽然看起来提出的变化是可以接受的那些回复到目前为止,我想指出,提醒董事会所说的列表就表现而言。

——不是曾经有过董事会人数的50%
——最低出勤率已经~ 18%
——10日电话(50%)、斜方员工超过董事会成员

问题是,结构或董事会成员吗?我知道自己/肯特/哈罗德/武能让大多数的过去几个月的呼声。显然有可能为人们称如果他们想。有一些特殊的原因人们不能打电话至少偶尔?

我把这个重申,尽管电话当然是有用的,指出的那样,他们不代表大多数。所以CVE政策改变真的需要带额外的讨论列表(在调用之前和/或之后)以及潜在的投票一个问题如果有冲突的观点。

不管什么决定,任何政策更改列表或调用必须公布名单,在自己的新线程,一个明确的主题。这使得外部各方更容易找到给定的政策改变,因为我们的决定可能影响区域和行业。

布莱恩

(我粗略的计算表。有些人有点像我没有
时间去遍历列表档案时看到有人添加到
董事会和通过看到的列表archive.org。但这些近似
数字服务目的。)
https://docs.google.com/spreadsheets/d/1NX16D5yyATBo-NbeO6bUGhllg7GLayglBFtdUc47lXM/edit?usp=sharing

- - - - - - - - - - - - - - - - - - - - - -转发消息
来自:“棺材,克里斯" <ccoffin@mitre.org>
X-Originating-IP (192.160.51.88):
:“Landfield,肯特" <Kent_Landfield@McAfee.com>,
“Waltermire David a .(美联储)”<david.waltermire@nist.gov>,
”pmeunier@cerias.purdue.edu" <pmeunier@cerias.purdue.edu>
答:Carsten Eiram <che@riskbasedsecurity.com>,
cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
时间:星期五,2017年7月7日21:16:18 + 0000
主题:RE:当前标准/标准“未定义行为”

肯特

我认为这听起来像一个非常合理的方法,将会在这种变化前进。我相信这种方法还与戴夫所提出的,以为你提供更多细节。

提出了过程:
-板分钟电子邮件包含一个决策列表消息的体内
-每一个决策包括一个简短的背景陈述并在需要的地方更多的细节
——董事会成员有两周提出反对的决定(这也包括那些参加可能后来改变主意)
名单上——如果不能达成协议内规定的讨论时间,我们在以下董事会讨论并做出最终决定调用考虑新反馈或评论

这对每个人都有效吗?

克里斯

- - - - - - - - - - -原始消息
来自:Landfield,肯特[mailto:Kent_Landfield@McAfee.com]
发送:星期五,2017年7月7日几点
:Waltermire, David a .(美联储)<david.waltermire@nist.gov>;pmeunier@cerias.purdue.edu;棺材,克里斯<ccoffin@mitre.org>
答:Carsten Eiram <che@riskbasedsecurity.com>;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:Re:当前标准/标准“未定义行为”

当我们成为一个更加国际多样化的群体,都是很重要的参与决策。我同意董事会是有用的呼吁加速决策基于反复对话但这是不公平的,可以吗?t参与由于时区,旅行或真正的日常工作。

我们已经同意作为董事会,工作组的决定需要放在董事会名单的建议。然后董事会有一个指定的时间不同意这些建议。如果没有分歧时间到期时,建议批准。

也许我们可以考虑这种方法对董事会决策。电话分钟可能部分专门列出了决定同意与一些背景决定的电话。分钟将发布决策部分复制和包含在董事会会议记录消息的主体除了附加分文件。董事会成员然后一个星期(或一些指定的时间)不同意并发起对话。任何决定不解决都有?沉默导致验收?的方法。

我们应该解决决策,董事会成员或需要澄清的问题,不是我们达成一致的。

- - -
肯特Landfield
817-637-8026
kent_landfield@mcafee.com

7/7/17,盘中一度点。”owner-cve-editorial-board-list@lists.mitre.org代表Waltermire David a .(美联储)”<owner-cve-editorial-board-list@lists.mitre.org代表david.waltermire@nist.gov>写道:

谁负责决定多大/风险或小/小一个给定的问题是什么?我不想要那份工作。

问题是在场在黑板上调用可能会认为是“小”和无关紧要的一个问题。那些可能会发现一个大问题在一个小的事情可能不会出现在一个给定的调用提高这样一个问题。这是哪里有价值在发送一个短的邮件列表保持每个人都捆绑在一起。我们有一些这样的例子在过去CVE变化状态,对下游的影响消费者,等等。

问候,
戴夫

> - - - - - - - - - - -原始消息
莫尼耶>:帕斯卡[mailto:pmeunier@cerias.purdue.edu]
3 >发送:星期五,2017年7月07日46点
>:棺材,克里斯<ccoffin@mitre.org>;Waltermire David a .(美联储)
> <david.waltermire@nist.gov>
>答:Carsten Eiram <che@riskbasedsecurity.com>;cve-editorial-board-list
> <cve-editorial-board-list@LISTS.MITRE.ORG>
>主题:Re:当前标准/标准“未定义行为”
>
在18:49 >在星期五,2017-07-07 + 0000,棺材,克里斯写道:
> >一个担忧在走这条路,我们从来没让
> >任何决定在董事会电话和他们可能的价值
> >大大减少。
>
>我理解和赞同开车去把事情做好,决定。
>
>另一方面,对于一些决定,更多的时间把事情想清楚
>和利用整个董事会的输入将是明智的。
>董事会调用是完美的地方决策过于轻微,或无关
>董事会的利益,为整个董事会参与,效率的
>。我认为这是一个主观判断来决定谁可以做决定
>调用。然而,CVE整个感兴趣的分配政策决定
>。我的观点是,分裂的区别在中间,和拥有
>标记邮件列表讨论某些类别的决定,可能会关闭
>最优。
>
>帕斯卡

- - -

Kurt Seifried——红帽产品安全——云
PGP A90B F995 7350 148 f 66高炉7554 160 d 4553 5 e26 7993
红帽产品安全联系:secalert@redhat.com