CVE董事会会议记录,2017年7月26日

CVE董事会会议2017年7月26日

董事会成员参加:

塔基•中山教授(JPCERT / CC)

大卫Waltermire (NIST)

肯特Landfield (McAfee)

安迪Balinsky(思科)

帕默(普渡)

贝弗利雀(联想)

库尔特Seifried (DWF)

横切CVE出席的成员:

乔治Theall

克里斯棺材

乔纳森埃文斯

林恩·米勒

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

战略计划-肯特Landfield / Chris棺材

问题

行动

董事会的决定

自动化- Kurt Seifried /乔治Theall

问题

行动

董事会的决定

庭讯- 3:CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-克里斯棺材

问题

行动

董事会的决定

3 - 3:JSON更新过程——克里斯棺材

3 - 3:指定人场cf -克里斯棺材

3:10 - 20:RSS 2.0 feed -克里斯棺材/乔治Theall

3:20 -凌晨:更新CVE引用(到目前为止两批10 k) -克里斯棺材

3 - 40分50分:拒绝CVE IDs可以移动到另一个州开始7月27日,克里斯棺材

美东- 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项:

之前的活动项目:斜方会继续试图联系苹果关于讨论问题

状态:斜方收到苹果的响应,但问题没有完全解决。苹果上游并通知用户。苹果和谷歌总是通知上游用户共享库/代码的产品,但可能不会马上公布所有细节。

之前的活动项目:主教法冠将努力在github问题设置所有CNA规则变化

状态:斜方增加了相当数量,并将继续努力增加。

之前的活动项目:肯特发送之前的战略规划WG幻灯片和笔记

状态:完成

之前的活动项目:斜方跟进与库尔特在git试点工作计划和测试ID

状态:仍然待定。

之前的活动项目:需要额外的谈话时间JSON转换(增加董事会议程或战略规划WG)

状态:需要把这个自动化工作小组。需要确定这将是首选格式或格式后的过渡期。

之前的活动项目:斜接的工作设置时间轴/里程碑CVE培训材料向董事会议事日程

状态:战略规划工作小组看可能使用表示从RSA作为起点。肯特会向斜接。

之前的活动项目:需要讨论未来需求的根源和治理根CNAs(添加为战略规划议程WG)

状态:斜方会穿上议程的下一个战略规划工作组议程。

之前的活动项目:斜方发送电子邮件和链接提出RSS提要

状态:完成了。

之前的活动项目:讨论缩小差距的公开披露不报CVE漏洞程序(添加为战略规划议程WG)

状态:需要添加战略规划工作组的议程。

之前的活动项目:斜方更新季度报告卡根据董事会的反馈

状态:MTIRE是在反馈的基础上进行更改。一个更新的甲板将更改合并后发出。

议程:

工作小组

战略规划

状态:战略规划工作组今年第二次见面。工作组正在看他们完成,协议,预计从交付的角度建立一个向前发展的基础。战略规划工作小组名单上甲板是可用的。

问题:没有一个

行动:没有一个

董事会的决定:没有

自动化

状态:自动化工作小组讨论的问题描述大小限制和JSON格式和验证尺寸。

讨论:董事会讨论了CVE的添加功能,允许标记描述。它指出,重要的是要确定需求是什么,只有实现是必需的。变化影响下游用户需要仔细讨论。社区支持改变需要时间减少的影响。流线型的变化将减少中断社区。需求和潜在的更改应向董事会提出第一列表,然后送到CVE反馈的邮件列表。

问题没有一个

行动:没有一个

董事会决策:没有一个

CNA更新

状态:DWF添加了两个新的潜艇

讨论:董事会讨论是否应该宣布新潜艇的根CNA横切。指出,这是一个要求在CNA规则根CNA通知横切所以潜艇可以被添加到CVE网站。

问题:有根的东西需要但没有吗?需要开发根CNA文档。

行动:根CNA的问题需要和文档将战略规划工作组的一部分。

董事会决策:没有一个

CNA斜方

状态:斜方添加了两个新的区域。

问题:没有一个

行动:没有一个

董事会的决定:没有一个

JSON更新过程;

状态:斜方发出更新过程应该是如何工作的。

问题:没有一个

行动:没有一个

董事会的决定:没有一个

指定人字段cf

状态:CNA组织负责CVE条目将显示填充cf开始一周的8/7。斜方收到积极的反馈大部分区域。没有负面的反馈或反对意见。不添加到数据源的信息,它只是一个新领域,当你看格式所以它不会影响下游CVE条目。

讨论:斜方要求董事会提供反馈CNA拒绝了cf。提供这些信息只是为了透明度。CNA数据是可用的,如果CVE条目没有拒绝。

问题:没有一个

行动:斜方请求的反馈CNA拒绝了cf添加CNA信息列表。

董事会的决定:没有

RSS 2.0 feed

状态:RSS 2.0 feed都准备好了。

讨论:董事会讨论使用Atom格式而不是RSS。董事会表示,值得看看之前原子实现RSS提要,以避免未来的变化。

问题:一个也没有。

行动:斜方设置原子示威和与NIST和董事会讨论。

董事会的决定:没有

更新CVE引用(10 k两批到目前为止)

状态:下一个更新定于星期五。还没有反馈,有任何问题或下游的影响。

问题:没有一个

行动:没有一个

董事会的决定:没有一个

拒绝CVE IDs可以移动到另一个州7月27日开始

状态:7月27日CVE开始“拒绝”状态并不是一个永久的状态。斜方发出声明在twitter和CVE在6月底宣布名单。

讨论:董事会讨论的重要性通知社区早期CVE的任何变化,特别是影响格式的变化。建议CVE宣布名单被用来将影响社区的沟通问题。人们不一定会读博客或twitter。把信息和公告CVE宣布名单。

问题:没有一个

行动:斜方发出声明,“拒绝”地位的变化已经成为有效。斜方包括潜在的CVE CVE宣布列表的更改为所有类型的变化。

董事会的决定:没有

行动项目的总结

• 根CNA的问题需要和文档将战略规划工作组的一部分。
• 主教法冠将请求的反馈CNA拒绝了cf添加CNA信息列表
• 斜方设置原子示威和与NIST和董事会讨论。
• 斜方发出声明,“拒绝”地位的变化已经成为有效。
• 斜方包括潜在的CVE CVE宣布列表的更改为所有类型的变化。

后续在先前的行动项目

• 斜方跟进与库尔特在git试点工作计划和测试ID
• 过渡到JSON格式需要添加自动化工作组议程。
• 添加缩小差距的公开披露不报CVE漏洞项目战略规划工作组议程。

重大决策、政策变化或事件:

• 拒绝cf现在可以在适当的时候搬到另一个州7月27日开始。社区是通过CVE网站通知,CVEannounce Twitter feed, CVE宣布6月27日邮件列表。

附件:CVE董事会会议记录7月26日2017.多克斯
描述:CVE董事会会议记录7月26日2017.多克斯