CVE董事会会议记录,2017年7月12日

CVE董事会会议记录——2017年7月12日

董事会成员参加:

塔基•中山教授(JPCERT / CC)

大卫Waltermire (NIST)

肯特Landfield (McAfee)

马尼恩的艺术(CERT / CC)

安迪Balinsky(思科)

横切CVE出席的成员:

乔治Theall

克里斯棺材

丹Adinolfi

林恩·米勒

亚历克斯花呢

议程:

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

战略计划-马尼恩艺术/ Chris棺材

问题

行动

董事会的决定

自动化-乔治Theall

问题

行动

董事会的决定

庭讯- 3:CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-丹Adinolfi

问题

行动

董事会的决定

3 - 3:CY17 Q2 CNA报告卡

3 - 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——丹Adinolfi

回顾上次会议行动项:

之前的活动项目:跟苹果SQL光和重复的问题

状态:主教法冠没有听到从苹果

问题:没有一个

行动:继续尝试联系苹果

董事会决策:没有一个

之前的活动项目:主教法冠,跟进与斯科特·摩尔在重定向IBM X-Force引用

状态:原来是这是不可能的,斜接把导致新闻文章和已经开始更新引用,修复大约5000周一引用。万博下载包没有来自社区的反馈。

之前的活动项目:CNA规则更新

状态:第一次评审会议在周二举行。横切报道,出席了会议。讨论主要集中在流程。斜接了审查过程和进度。意见和建议可以添加到文档在GitHub上。主教法冠将设立问题跟踪器在GitHub捕捉讨论问题。下次会议在下周四。在周四的会议之后,将决定如果另一个会议是必要的。主教法冠将构建安排8月开始的解决建议/问题。

讨论:有讨论的问题跟踪器使用GitHub,如果审查员应该发布新的问题。斜接的过程中设置问题从目前的建议/意见。将导致30 - 40的问题。现在想要在一个地方所有的建议。建议帮助促进CNA的讨论规则。一定要提高一个尽可能简单的问题。希望这是一个持续改进的过程,给社区论坛发布时出现的问题。可能会有变化,可以在年度回顾周期(需要更多的对话)。

行动:问题跟踪器设置后进行问题跟踪当前文档审查规则。

行动:斜方尽快得到GitHub中创建的问题。

议程:

战略规划

状态:战略规划工作组本周会面,重新定义组织的目的。四个领域/目标被确定。集团想要关注未来面临项目,短期战术问题的其他工作小组。

讨论:有时短期问题可以战略,不想任意设定限制范围和创建不必要的工作小组。

行动:工作组将充实其目标和与董事会的支持。肯特发送之前的幻灯片和笔记。

决策:没有一个

自动化

状态:斜方更新委员会GIT飞行员。有一个关心马克斯GIT存储库的大小。斜方管理员负责Git服务器确认没有最大限度。

讨论:董事会讨论了如何评估试点的结果,和验收标准的必要性。指出,库尔特是要做那项工作的GIT飞行员和测试标识工作,需要检查。

行动:斜方和库尔特跟进。

决策:没有一个

问题:使用JSON格式前进——CNA规则调用有总协定过渡到JSON只是格式进行数据交换。

讨论:有讨论影响下游消费者转变为JSON格式。什么是影响获取信息的及时性。斜方表示,git存储库同步与主每小时CVE列表的顶部。任何延迟从当前更新将是分钟。

行动:需要额外的谈话时间过渡。

决策:没有一个

CNA更新

状态- - -等待提交库尔特派遣。大约100 id应该很快就会被添加。

主教法冠CNA的一面

状态:主教法冠报道他们必须继续引进一些新的候选人。大约有10来等待。最近,中兴通讯是补充道。他们从中国制造相机/物联网。周围是指出文档仍需要发展成为一个可信CNA或者根。

讨论:有讨论培训材料可用于新区域和什么层次的培训目前正在给新美国安全。横切报道,培训是基于新区域的需求。培训由请求总是可用的。斜方还计划创建一些培训视频。此外,最初几个任务由一个新的CNA提交MTIRE内容CNA团队提供反馈。有一个问题,当训练甲板将会公开。MTIRE回应说,目前还没有时间表。董事会建议他们可以帮助复习材料。

行动:设置时间轴/里程碑,里程碑和状态CVE培训材料添加到董事会议程。

讨论:有讨论添加一个新的根CNA在欧洲和他们可能面临的困难。会议也讨论了如何确定CNA应该成为一个根,如果根不执行或后果。

行动:讨论未来的需求作为根的根必须应该解决和治理战略工作组。斜方应该提供当前状态并讨论什么是工作,那里的挑战。

决策:没有一个

RSS提要更新

状态:斜方报告有两个提要,一个新cf和第二个CVE插件。插件包括任何CVE条目的状态的变化。试报告发生了什么变化——信息的旧值和新值。在回走多远。

行动:后斜方发送链接调用私有消息。董事会成员可以提供反馈邮件。

决策:没有一个

审查CVE季度计划的审核

状态:斜接了季度进展幻灯片。

讨论:有讨论如何激励必须做得更好,而不是考虑刑罚的表现。

行动:战略工作组讨论公开披露的识别漏洞没有CVE ID或报告给主教法冠。这包括来源和方法上得到一个更好的主意,断开为公众不是报道CVE漏洞。

行动:斜方包括董事会一些通信/外展的谈话。

幻灯片上的建议:

幻灯片1 -删除之前2014年保留使CVE ID。识别CNA会有帮助。

幻灯片12 -更新免责声明:Web取消使用,可能不是完整列表。

幻灯片13 - 10大最大延缓型会更有帮助,或者有多少cf发行的一个月。体积的函数。

幻灯片14 -显示曲线的cf CNA发表列表。

幻灯片15建议使用前10%和10%。需要在图形工作,难以阅读。图的数量限制。

幻灯片16 -区域战略工作组讨论如何选择为根

添加CNAs的幻灯片17需要讨论治理方面很快。经营成本与新CNAs是什么,什么是影响我们提供的数据。如果某人是一个糟糕的“公民”它将会下降一些数字在其他领域的关注。

讨论拓展新的领域和行业。需要确定我们想要去的地方,和规模扩大。关注添加太多CNAs过快使太多的斜方协调。

幻灯片CNA - 21受益于显示未使用的这张图跟另一个

行动项目(从上面重复):

• 斜方会继续试图联系苹果关于讨论问题
• 主教法冠将努力在GitHub问题设置所有CNA规则变化
• 肯特发送之前的战略规划WG幻灯片和笔记
• 斜方跟进与库尔特在git试点工作计划和测试ID
• 需要额外的谈话时间JSON转换(增加董事会议程或战略规划WG)
• 斜接的工作设置时间轴/里程碑CVE培训材料向董事会议事日程
• 需要讨论未来需求的根源和治理根CNAs(添加为战略规划议程WG)
• 斜方发送电子邮件和链接提出RSS提要
• 讨论缩小差距的公开披露不报CVE漏洞程序(添加为战略规划议程WG)
• 斜方更新季度报告卡根据董事会的反馈

重大决策或政策变化:

• 没有一个

附件:CVE董事会会议2017年7月12日[1]。docx
描述:CVE董事会会议2017年7月12日[1]。docx