(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

再保险:当前的标准/标准“未定义行为”

请与你的建议。

谢谢,

戴夫

来自:棺材,克里斯(mailto: ccoffin@mitre.org)
发送:2017年7月12日,星期三,下午几点
:Waltermire David a .(美联储)< david.waltermire@nist.gov >;Landfield,肯特< Kent_Landfield@McAfee.com >;米勒,托马斯< Thomas.Millar@hq.dhs.gov >;kurt@seifried.org;balinsky@cisco.com
答:pmeunier@cerias.purdue.edu;che@riskbasedsecurity.com;cve-editorial-board-list < cve-editorial-board-list@lists.mitre.org >
主题:再保险:当前的标准/标准“未定义行为”

戴夫,

这是可行的。我们需要做的就是包括董事会会议纪要CVEannounce Twitter消息。CVE可能指向的链接网站新闻条目,包含了会议纪要。万博下载包这个工作,或者你想到不同的东西吗?

问候,

克里斯

来自:Waltermire David a .(美联储)[mailto: david.waltermire@nist.gov]
发送:星期三,2017年7月12日55
:棺材,克里斯<ccoffin@mitre.org>;Landfield,肯特<Kent_Landfield@McAfee.com>;米勒,托马斯<Thomas.Millar@hq.dhs.gov>;kurt@seifried.org;balinsky@cisco.com
答:pmeunier@cerias.purdue.edu;che@riskbasedsecurity.com;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:再保险:当前的标准/标准“未定义行为”

我相信可能使用Twitter的使用更大的透明度内外。要有一个方便的归档文件包含所有notes文档。这可能是github, wiki,一个网站,等等。我不确定什么样的技术可用来支持这个对今天正在做什么。

问候,

戴夫

来自:棺材,克里斯mailto: ccoffin@mitre.org]
发送:星期三,2017年7月12日星期日晚上
:Landfield,肯特<Kent_Landfield@McAfee.com>;米勒,托马斯<Thomas.Millar@hq.dhs.gov>;kurt@seifried.org;balinsky@cisco.com
答:Waltermire David a .(美联储)<david.waltermire@nist.gov>;pmeunier@cerias.purdue.edu;che@riskbasedsecurity.com;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:再保险:当前的标准/标准“未定义行为”

肯特是正确的,说明董事会由“个体。他还正确地引用董事会章程(http://cve.mitre.org/community/board/charter.html),分离的个体组织绝对是意图在多个特许的其他部分。添加一个具体组织的接触,甚至作为一个备份,似乎远离原来的意图。如果有想走这条路然后更新需要向董事会章程。说话的建议想法正确备份在董事会名单,没有提到这将如何影响私人做的列表。最初的建议是为了适用于两个列表吗?

另一方面,似乎有一个董事会纪要的合法要求更好的沟通和决策。董事会会议记录现在可以公开获得通过的新闻部分CVE网站(万博下载包http://cve.mitre.org/万博下载包news/archives/2017/news.html),或者通过Nabble存档http://common-vulnerabilities-and-exposures-cve-board.1128451.n5.nabble.com/

如果别人觉得是合适的,一个单独的邮件列表可以创建专门为董事会会议纪要。另一个选择是将会议纪要通过CVEannounce Twitter和/或CVE LinkedIn页面。

其他思想或想法吗?

问候,

克里斯

来自:Landfield,肯特mailto: Kent_Landfield@McAfee.com]
发送:星期二,2017年7月11日12:13点
:米勒,托马斯<Thomas.Millar@hq.dhs.gov>;kurt@seifried.org;balinsky@cisco.com
答:david.waltermire@nist.gov;棺材,克里斯<ccoffin@mitre.org>;pmeunier@cerias.purdue.edu;che@riskbasedsecurity.com;cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:再保险:当前的标准/标准“未定义行为”

我绝对不是!

我没有问题的另一个联系人列表发邮件各种相关信息但组织代表反对董事会的精神。人不是在黑板上,因为他们为“Foo”工作。董事会章程,“董事会由一组充满激情的个人希望推进CVE漏洞识别。”有个人的关键。如果有需要,及时得到董事会分钟然后让我们创建一个邮件列表,包括董事会成员+其他成员感兴趣。

董事会成员应该有能力自己说话。添加组织代表当地企业需要不是有益的努力。

有办法处理库尔特想要什么没有强迫改变董事会是如何工作的。从CNA的角度来看,他的要求是有道理的。从董事会决策过程的角度看它不。

- - -

肯特Landfield

817-637-8026

kent_landfield@mcafee.com

我赞成这一想法。它一定会帮助如果我们能有一个指定的# 2代表在黑板上。



us - cert汤姆•米勒

从+ 1-202-631-1915
https://www.us-cert.gov

来自:owner-cve-editorial-board-list@lists.mitre.orgKurt Seifried的代表
发送:星期二,2017年7月11日3:11:56
:安迪Balinsky (Balinsky)
答:Waltermire David a .(美联储);棺材,克里斯;Landfield,肯特;pmeunier@cerias.purdue.edu;Carsten Eiram;cve-editorial-board-list
主题:再保险:当前的标准/标准“未定义行为”

一件事会考虑接受组织董事会分钟/电子邮件而不是个人,我的意思是在Red Hat我们有自己和(我想. .)mjc@redhat.com,但是如果我在度假/等。就好了如果分钟/电子邮件可以去secalert@redhat.com(传入的团队,从那里谁在redhat安全谁需要参与)。

DWF例如我长期的目标是要依赖的过程,是由人,而不是依赖于特定的人(我希望公共要素n - 1 =)。

在星期一,2017年7月10下午6:01时,安迪Balinsky (Balinsky) <balinsky@cisco.com>写道:

我认为时钟(然而许多天)需要从出版的分钟,就像美国联邦政府使用X天出版在联邦注册的时间发表评论。

很多时候,会议记录没有及时出来(5月31日公布5月3分钟),这是不公平其他董事会成员没有电话。它将提供一个一致的标准,和激励的分钟。任何延误都将阻碍终结任何提出的决策会议。

也许我们需要一个SLA的出版分钟,也像7天内的会议。

安迪

在2017年7月10日,10点钟,Waltermire David a .(美联储)<david.waltermire@nist.gov>写道:

克里斯,

我认为我们想要的共识(缺乏持续的反对)

协议。
同意了。

如果选择一个新的选项调用,期间将启动一个新的讨论

为董事会提供一种手段来提供反馈。
我第一次读你的回应,我把这作为一种扩展
决定无限期。然而,我认为你说的是如果
决定是实质性的方式改变了,我们会想要所有的董事会
成员审查决定再次完全就好像它是一个新的决定。我
认为这是有道理的,应该离开的情况下作为一个选项
持续的反对。然而,我认为我们想要避免的情况
决定在哪里举行无限期地由一个董事会成员。


确定。我们希望透明度,而不是官僚的僵局。我只是担心缺乏透明度,这可能导致从一个新的改变。

也,我认为从两周时间分钟

发布了吗?
肯特最初规定一个星期,我扩展基于董事会
电话安排因为我们想要得到共识之前或期间
下一个电话。假设我们在同一周会议纪要
打电话,我想这仍然给了一周半的邮件列表
讨论。一周半听起来合理吗?


为什么不设置至少1周,允许一些灵活性,扩大时期所需的问题需要更多的时间吗?

谢谢,
戴夫

安迪Balinsky (Balinsky)

PSIRT工程



- - -

Kurt Seifried
kurt@seifried.org

页面最后更新或审查:2017年7月12日