CNA规则的总结复习课7/11

所有人,

周二,7/11,我们举行一个电话会议上给CNA社区有机会讨论CNA规则和建议他们认为任何更改将是有用的,当我们进入今年的CNA规则审核期。

CNA规则审查过程将使用GitHub的网站跟踪建议更改。目前的推荐列表:

< https://github.com/CVEProject/docs/blob/cna-documents/cna/CNA%20Rules/CNA%20Rules%20Development/Suggested%20Rules%20Changes >

感兴趣的人做出的建议仍然可以添加信息,文件。该组织建议我们使用GitHub问题跟踪器,是GitHub的基础设施的一部分,我们将使用问题跟踪器迁移到第二阶段的审查过程。

有共识,CNA规则现在工作得很好。说,讨论指出的地方更多关于CVE的元信息列表将是有用的,比如更好的统计的总数CVE id分配,保留,或拒绝。同时,更多信息软件是什么相关的漏洞将是有用的(例如,“供应链”的问题)。其中一些元信息可以包含在基于json提交。其他需要提交的数据必须和根CNAs的链主要CNA排序和报告。一些规则来促进所有这将是包含在建议。

没有人反对的JSON格式的首选方法描述CVE条目ID。一组数据格式指南将被添加到CNA规则包括这一想法。

很多机会利用自动化工具和流程的建议,这些建议将传递到自动化工作小组。

会议以讨论如何改变CNA规则来减少之间的差距时间CVE ID是公开当条目发表在《CVE列表。对CNA的任何更改必须指导方针而不是规则不可违逆的最后期限,但在这些指南将有助于推动沿着中央社内组织流程。

的下一个开放CNA规则审查会议将于7月20日上午10:30等。

谢谢。

丹

_________________________

丹尼尔•Adinolfi CISSP

导致网络安全工程师,斜方公司manbetx客户端首页

CVE通信和CNA协调员

电子邮件:< dadinolfi@mitre.org >电话:781-271-5774