[[日期上一篇这是给予的[[Date Next这是给予的[[线程这是给予的[[Thread Next这是给予的[[日期索引这是给予的[[线程索引这是给予的

CVE董事会会议记录 - 2017年5月24日

到：cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题：CVE董事会会议记录 - 2017年5月24日
From: "Adinolfi, Daniel R" <dadinolfi@mitre.org>
Date: Thu, 3 Aug 2017 08:38:05 -0500
接受语言：en-us
Authentication-results: spf=none (sender IP is 129.83.29.2) smtp.mailfrom=LISTS.MITRE.ORG; mitre.mail.onmicrosoft.com; dkim=none (message not signed) header.d=none;mitre.mail.onmicrosoft.com; dmarc=none action=none header.from=mitre.org;
交货日期：thu 8月3日17:26:26 2017
List-help: <mailto：listserv@lists.mitre.org？body = info％20cve-editorial-board列表>
List-owner: <mailto：cve-editorial-board-list-request@lists.mitre.org>
List-subscribe: <mailto：cve-editorial-board-list-subscribe-request-request@lists.mitre.org>
List-unsubscribe: <mailto:CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
Sender: "owner-cve-editorial-board-list@lists.mitre.org" <owner-cve-editorial-board-list@lists.mitre.org>
线程索引: AQHTDF280hNH6IMtqkajwdWmdJY45w==
Thread-topic：CVE董事会会议记录 - 2017年5月24日
User-agent：Microsoft-Macoutlook/F.24.0.170702

（我们为延迟发送这些的延迟表示歉意 - CVE团队）

CVEBoard Meeting

24 May 2017, 2:00 p.m. ET

CVE董事会于2017年5月24日通过电话会议开会。

出席董事会成员是：

Harold Booth (NIST)

贝弗利·芬奇（联想）

Art Manion（CERT/CC）

Kent Landfield (McAfee)

Kurt Seifried（红色帽子/DWF）

William Cox (Black Duck)

Dave Waltermire（NIST）

Taki Uchiyama (JPCERT/CC)

Ken Williams (CA Technologies)

Andy Balinsky (Cisco)

Members of the MITRE CVE Team who attended the call are as follows:

丹·阿迪诺夫（Dan Adinolfi）

克里斯·科芬

Matt Hansbury

Anthony Singleton

乔治·蒂尔（George Theall）

议程

CVEBoard Meeting 24 May 2017

议程

2:00 – 2:05: Introductions, action items from the last meeting – Chris Coffin

2:05 - 2:25：工作组

Strategic Planning - Harold Booth/Art Manion

Issues

Actions

董事会决定

自动化 - Harold Booth/Kurt Seifried

Issues

Actions

董事会决定

2:25 – 2:50: CNA Update

DWF - Kurt Seifried

Issues

Actions

董事会决定

将军 - 丹·阿迪诺夫（Dan Adinolfi）

Issues

Actions

董事会决定

2：50 - 3:20：关于CVE ID状态和状态的讨论-Chris Coffin

在AWG邮件列表中继续进行对话

相关：是否应该在CVE列表中列出保留的CVE ID？如果是这样，我们是否需要列表中的保留状态类型？

3:20 - 3:30：匿名CNA报告卡-Dan Adinolfi

3：30 - 3:45：保留CVE ID的时间限制？由于它们的模型略有不同，因此MITER CNA的时间限制是否不同？- 丹·阿迪尼尔夫（Dan Adinolfi）

3:45 – 3:55: Open discussion – CVE Board

3:55 – 4:00: Action items, wrap-up – Chris Coffin

Introductions and review of previous action items

The Automation WG was to email the Board to get permission for the Automation WG pilot. This was done.
MITRE was to provide the anonymized report draft the middle of next week. This was done and feedback is being collected.

工作组

战略规划 - 肯特·兰德菲尔德
- Issues
  - 工作组会议将在定期预定的董事会会议的同一周中1-2点。
- Actions
  - No actions.
- 董事会决定
  - 没有其他董事会讨论。
自动化 - Kurt Seifried
- Issues
  - WG举行了2017年5月15日的会议，会议中的一些笔记已发布到自动化WG邮件列表中。
  - The WG is going ahead with the Git-based pilot for pushing information to MITRE.
  - CVE ID的旧状态列表（例如，拒绝子州，保留/分配/分配的状态等）将通过邮件发送。
  - The WG discussed the idea that data sharing should be push-based. The responsibility for updating CVE data should be on the data contributor.

Actions
- The WG fleshed out a plan for an information sharing experiment using Git and will share this with the Board.
董事会决定
- The Board needs to clear the bi-directional sharing Pilot. The WG will post a proposal for the sharing Pilot to the Board list and give the Board a week to review it.

CNA Update

DWF - Kurt Seifried
- Issues
  - DWF正在处理分配请求的积压。
  - More CVE requests will be submitted to MITRE by the DWF this week.
  - 一些CVE ID请求者没有回复DWF的电子邮件（尤其是那些要求接受CVE使用条款的电子邮件），这正在减慢发布过程。DWF正在寻找更可靠的方法来做到这一点。
- Actions
  - 下周将开发更多的基础设施。
- 董事会决定
  - 没有其他董事会讨论。
将军 - 丹·阿迪诺夫（Dan Adinolfi）
- Issues
  - 东京的为期两天的培训进展顺利。9组参加。语言障碍是一个问题，但是该小组已经过去了。技术部门进展越来越好，内容编写部分进行得很好。CNA计划可能需要考虑培训材料的翻译。
- Actions
  - None.
- 董事会决定
  - 没有其他董事会讨论。

国家主题 - 克里斯·科芬

请参见自动化WG注释中的上文。

CNA Report Card Update – Dan Adinolfi

根据董事会的反馈，应扩展解释性材料。报告卡应使其更加独立，包括更多背景材料。每个幻灯片的段落或两段将很有用。Miter将在两周内通过新版本返回董事会。

Time limit for reserved CVE IDs? Should there be different time limits for the MITRE CNA, since their model is slightly different? – Dan Adinolfi

An automated process for tracking this would be ideal. The goal would be to revoke a CVE ID assignment after a period of time or publish after a period of time, which will reduce the number of “stale” CVE IDs in the CVE list. MITRE will send a proposal to the Board with specifics.

公开讨论 - CVE董事会

Can rejected CVE IDs be moved back into an active state?

董事会讨论了这一点，并同意CVE ID应该能够更改状态以适应错误。这样做将需要通知和意识，即拒绝CVE ID可以更改。米特（Miter）将发出30天的通知，即此政策正在改变并正式化处理问题时交流的过程。

关于Miter对国会对CVE计划的特定信息的要求，Miter将尽快分享他们的回应。

董事会讨论了在脆弱性描述中使用“未定义行为”。如果供应商/开发人员断言表现出不确定行为的漏洞是合法的，则应分配CVE ID。没有这种确认，研究人员应提供更多证据，表明未定义的行为代表了脆弱性。MITER应将仅提供“未定义行为”的请求者推回作为漏洞的描述。

MITRE is still working with HP to update the Board on questions related to their scope.

动作项目，总结 - 克里斯·科芬（Chris Coffin）

A list of the old and new sets of states for CVE IDs will be sent via mail for discussion.
Write up communication plan.
2 weeks new anonymized report card
Write-up on time limits for reserved CVE IDs.

依恋：CVEBoard Meeting 24 May 2017.docx
描述：CVEBoard Meeting 24 May 2017.docx

上一条日期：New CNA: Alibaba, Inc.
下一个日期：CNA规则修订第2阶段 - 第1周
Previous by thread:New CNA: Alibaba, Inc.
Next by thread:CNA规则修订第2阶段 - 第1周
Index(es):
- Date
- Thread