(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

CVE董事会会议记录——2017年6月28日

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:CVE董事会会议纪要- 2017年6月28日
从:“Adinolfi, Daniel R " <dadinolfi@mitre.org>
日期:星期四,2017年7月13日20:14:50 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 129.83.29.3) smtp.mailfrom = LISTS.MITRE.ORG;mitre.mail.onmicrosoft.com;dkim = none(消息没有签署)header.d =没有;mitre.mail.onmicrosoft.com;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2017年7月13日16:39:59星期四
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2
Thread-index:AQHS / BSujZNCt1xXSE2ZAmJRIl3bWA = =
Thread-topic:CVE董事会会议纪要- 2017年6月28日
用户代理:Microsoft-MacOutlook / f.23.0.170610

CVE董事会会议

2017年6月28日,东部时间下午2点

CVE董事会通过电话会议召开了会议,2017年6月28日。

董事会成员参加:

哈罗德·布斯(NIST)

马尼恩的艺术(CERT / CC)

肯特Landfield (McAfee)

Kurt Seifried (Red Hat / DWF)

威廉·考克斯(黑鸭子)

戴夫Waltermire (NIST)

塔基•中山教授(JPCERT / CC)

肯•威廉姆斯(CA技术)

横切CVE团队的成员参加了调用如下:

丹Adinolfi

克里斯棺材

乔纳森埃文斯

安东尼单例

乔治Theall

亚历克斯花呢

议程

CVE董事会会议2017年6月28日

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

战略计划-克里斯棺材/丹尼尔Adinolfi

问题

行动

董事会的决定

自动化-哈罗德·布斯/ Kurt Seifried

问题

行动

董事会的决定

庭讯- 3:CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-丹Adinolfi

问题

行动

董事会的决定

3 - 20:CNA -丹Adinolfi规则修订过程概述

目标:描述董事会和CNAs将审查CNA规则,开始这一过程。请参阅下面的规则的过程。

行动:1)决定每周回顾的具体时间表。2)董事会应该添加任何额外的规则更新之前的清单建议结实的6/30。

20 - 3:研究员预订指南文档审查开球

目标:复习和更新研究预订的指导方针

行动:1)董事会将目前的草案。他们将有两周置评。2)横切将一周后,意见征集期将评论和分享最终批准的更新版本。

3 - 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——丹Adinolfi

介绍和回顾以前的行动项目

RSS提要的CVE id创建并公开。我们仍在讨论我们是否应该包括更新以及新条目。我们也可以看看ROLIE。
我们发表了新闻讨论CVE id标记为拒绝万博下载包可能会改变状态取决于个人的情况下。

工作小组

战略规划——Kent Landfield
- 问题
  - 工作组1-2PM 6月26日见面。
  - 上周的会议导致了最初的议程WG在接下来的几个月里。
- 行动
  - 工作组将审查短期WG议程和发送反馈。
- 董事会的决定
  - 没有额外的董事会讨论。
自动化(Kurt Seifried
- 问题
  - 工作组会议2017年6月26日,会议发布的一些笔记自动化WG邮件列表。
  - 组讨论了进一步发展的一个测试套件的CVE id。这些测试CVE id会自己的国家来帮助区分“真正的”CVE id。
  - 字段在JSON定义良好的模式,但周围的约束数据仍然需要额外的开发。
- 行动
  - 工作组将充实的计划测试IDs将分享这与董事会。
- 董事会的决定
  - 没有董事会的讨论。

CNA更新

DWF——Kurt Seifried
- 问题
  - 苹果分配CVE SQLite的id。目前还不清楚哪些版本影响或者漏洞是在Apple-specific代码基于苹果提供的信息。社会需要更多的信息,和斜方应该调查。是什么版本的SQLite的影响?
  - 应该有一个文档开发更明确地描述CVE ID条目的状态,随后的过程获得CVE ID等等。
  - 董事会讨论了最近的问题与PaX。
- 行动
  - CVE将接触苹果讨论SQLite问题和如何最好地处理多党赋值。
- 董事会的决定
  - 没有额外的董事会讨论。
通用-丹Adinolfi
- 问题
  - 董事会讨论了影响根CNAs的规则。
  - 董事会讨论一个问题相关的必须选择分配仅为“关键”的问题。
  - Netflix CNA已添加。
  - 综述了潜在CNAs的列表。
  - 欧盟内部可信介绍人集团将作为根CNA欧盟确实的事情。目前正在与TI组的讨论。
  - CVE尚未听到从惠普对于相关问题没有留CVE IDs他们认为“内部”问题,尽管这些问题被第三方公开。
- 行动
  - CVE惠普将继续接触。
  - 新CNAs很快就会到来的车载。
- 董事会的决定
  - 没有额外的董事会讨论。

CNA -丹Adinolfi规则修订过程概述

目标:描述董事会和CNAs将审查CNA规则,开始这一过程。请参阅下面的规则的过程。

行动:1)决定每周回顾的具体时间表。2)董事会应该添加任何额外的规则更新之前的清单建议结实的6/30。

建议更改的列表在这里:<https://github.com/CVEProject/docs/blob/cna-documents/cna/CNA%20Rules/CNA%20Rules%20Development/Suggested%20Rules%20Changes>

CNA的模板提交规则修订过程将用于每一个建议。

——目标

——解决方案

——预期结果

——提出语言(可选)

前30天

——打开评论时间。

——董事会和必须被邀请参加。

——使用上述格式修改。

在整个月- 2或3电话会议。

下一个60天

——1周冲刺每个sprint提出修正的一个子集。每个子集只讨论在这冲刺。

- 8总冲刺。

——在sprint结束时,如果没有解决或讨论,它将不被包括在这个修订。

最后的冲刺,将确定文档,发送到董事会批准。

建议:新规则生效于2018年1月1日

研究员预订指南文档审查开球,克里斯棺材

目标:复习和更新研究预订的指导方针

行动:1)董事会将目前的草案。他们将有两周置评。

公开讨论——CVE董事会

变化需要做出大量的CVE id更改url的引用,因为id的引用。这种变化将有重要的下游效应,但与一些协调,NVD,至少,可以适应变化。

问题将始终与CVE id已经出版。这是好的,但有些CNAs反对保持一个,必须有什么CVE id列表保留。

Git AWG已被实验的顺利。它已经被测试的区域和反馈是积极的。实验将持续到8月21日^圣。

行动项目,总结——克里斯棺材

主教法冠将接触苹果对SQLite问题得到更多的信息。
将工作在内部如何处理旅客/ GRSecurity问题。
主教法冠将研究简化更新死亡的过程参考CVE列表中的链接。斜方还将接触IBM要求如果他们将设置重定向让过时的xforce.iss.net的链接继续工作。
CNA规则建议将清理,这个过程将开始。
自动化工作小组应考虑如何添加搜索功能Git实验。
横切将发送新研究员预订指南文档开始向董事会的审查过程文档。

附件:CVE董事会会议6月28日2017.多克斯
描述:CVE董事会会议6月28日2017.多克斯