CVE董事会会议记录,2017年8月9日

CVE董事会会议2017年8月9日

董事会成员参加:

塔基•中山教授(JPCERT / CC)

大卫Waltermire (NIST)

肯特Landfield (McAfee)

帕默(普渡)

贝弗利雀(联想)

威廉·考克斯(BlackDuck)

马尼恩的艺术(CERT-CC)

横切CVE出席的成员:

丹Adinolfi

乔治Theall

克里斯棺材

乔纳森埃文斯

亚历克斯花呢

安东尼单例

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

战略计划-肯特Landfield / Chris棺材

问题

行动

董事会的决定

自动化-乔治Theall Kurt Seifried / / Chris棺材

问题

行动

董事会的决定

庭讯- 3:CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-丹Adinolfi

问题

行动

董事会的决定

3 - 3:指定人场cf -克里斯棺材

3 - 3:自动化WG -克里斯棺材/乔治Theall Git飞行员

3:10 - 3:20:董事会讨论邮件列表-克里斯棺材

20 -凌晨9:黑帽/ DEF CON回放报告-丹Adinolfi /安东尼单例

凌晨9 - 55分钟:公开讨论——CVE董事会

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:根CNA的问题需要和文档将战略规划工作组的一部分。

状态:战略规划小组将发布信息打算如何解决这个问题。

之前的活动项目:主教法冠将请求的反馈CNA拒绝了cf添加CNA信息列表

状态:今天上午(8/9)生效CNAs正在CVE主列表中列出的网站,包括拒绝id。

之前的活动项目:斜方设置原子示威和与NIST和董事会讨论。

状态:斜方和NIST将协调建立会议过程这一行动项。

之前的活动项目:斜方发出声明,“拒绝”地位的变化已经成为有效。

状态:斜方发出声明,拒绝了IDs现在可以改变状态。包括在twitter和其他出版物列表。

之前的活动项目:斜方包括政策或其他重大CVE CVE宣布列表的更改为所有类型的变化。

状态:斜方实现了这种变化。

议程:

工作小组

战略规划

状态:需要讨论的重点:

• 工件列表
  • 文档、培训文档,信息人员,和视频
• 斜方应该分享他们的优先级列表。
• 董事会成员应该参与创建视频如何正确使用CVE。
• 更专注于JSON的努力与自动化工作小组(AWG)
• 谈到需要CVE 101年CVE研究者,计数规则,推广文档,常见问题,成功的故事。

问题:找到一个方法来工作当前努力董事会沟通和允许AWG重叠更有效率。

行动:任何董事会成员会愿意花时间为描述和文件。

董事会的决定:斜方发送邮件清单优先董事会要求的意见和参与。

自动化

状态:GIT试点的现状是8月21日结束^圣.Discussions进展在JSON字段设置字符限制。

讨论:很多积极的反馈从CNAs git存储库。AWG想更多公立和允许更多的测试。77拉请求已经由CNAs 7拒绝,只有4悬而未决。我们需要字符限制在特定的JSON字段吗?

问题:飞行员还没有被实施。目前的试点已经成功的第一阶段。还有需要更多的测试和研究解决剩余问题AWG成员已经长大。想法的第二阶段,允许自动把请求从CNAs。工作重点将集中在自动化和可伸缩性。

行动:AWG写董事会要求扩展。斜方提交GitHub追踪问题,谈到性格限制(搬到4000个字符)提交。

董事会决策:AWG应该清除需求并提供解决方案。Git飞行员将收到一个临时的扩展。

CNA更新

CNA DWF

状态:没有一个

讨论:没有

问题:没有一个

行动:没有一个

董事会决策:没有一个

CNA斜方

状态:新美国安全;欧特克,Qnet,空客,阿里巴巴。

问题:没有一个

行动:继续努力在新员工培训和接触潜在的区域。Mediatech说话。CNA满足了防御,13 CNAs参与。

董事会的决定:没有一个

指定人字段cf

状态:任务操作。IDs将CNA分配信息发布。这包括拒绝id。

讨论:没有一个

问题:没有一个

行动:斜方发送邮件讨论这个任务的运行状况。

董事会的决定:没有

自动化WG Git飞行员

状态:第一阶段是成功的。飞行员在年底的最后期限两个星期。

讨论:董事会认为,飞行员应该提升到另一个阶段,关注的问题与自动化和可伸缩性。

问题:董事会认为,更多的工作需要在研究这个飞行员,因为它们的值比较短期解决方案和长期解决方案。

行动:AWG将提议为下一阶段的工作项目。

董事会的决定:没有

讨论邮件列表

状态:董事会认为这个话题应该延迟战略工作组进一步充实的问题,最好的解决方案是可用的程序。

问题:没有一个

行动:这个话题将被推到战略工作组进行进一步的讨论。

董事会的决定:推迟去战略工作组,制定的任务列表,以及如何更好地组织这些重要的讨论。

黑帽/ DEF CON训练后报告的一部分

状态:斜方参加会议。横切的幻灯片展示如何得到CVE IDs的防御墙羊。

讨论:斜方有多个与供应商讨论和研究人员报道,传播词CVE的使命和目标。也请求的想法和问题/决议从这些团体收集数据关注程序的有效性。

问题:没有一个

行动:横切是跟进会议的联系人。

董事会的决定:没有

公开讨论

状态:CNA规则更新发生在GitHub上。

讨论:计划在每个会话的评论审核开始前注册的决定,下一个会话。

问题:

行动:如果你有任何评论或变化,请提交网站。

董事会的决定:斜方将当前副本CNA规则GitHub开始过程。

状态:新版本的2017年第二季度业绩报告发送到董事会

讨论:这个版本更新基于7月12日董事会的评论和反馈。计划是使用这个版本作为模板前进。

问题:

行动:如果你有任何评论或更改,请回复董事会名单。

董事会的决定:斜方董事会会议之前发送更新后的版本。

行动项目的总结

• AWG /斜接将发送写董事会要求扩展Git飞行员。

• 斜方提交GitHub追踪问题,谈到性格限制JSON提交(搬到4000个字符)。
• 主教法冠将发送邮件讨论分配人字段添加到语料库的运行状况。
• AWG将提议为下一阶段的工作项目。
• 战略工作组将整合一个待办事项清单优先邮件列表讨论。

重大决策、政策变化或事件

• 现在分配CNA字段显示在CVE CVE网站主列表。它将包含CNA组织名称填充并拒绝CVE条目。

附件:CVE董事会会议纪要09年8月2017.多克斯
描述:CVE董事会会议纪要09年8月2017.多克斯