CVE董事会会议记录,2017年9月20日

CVE董事会会议2017年9月20日

董事会成员参加

塔基•中山教授(JPCERT / CC)

大卫Waltermire (NIST)

肯特Landfield (McAfee)

威廉·考克斯(黑鸭子)

马尼恩的艺术(CERT-CC)

安迪Balinsky(思科)

横切CVE出席的成员:

丹Adinolfi

乔治Theall

克里斯棺材

乔纳森埃文斯

安东尼单例

乔祈神保佑

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

战略规划——Kent Landfield

问题

行动

董事会的决定

自动化-乔治Theall

问题

行动

董事会的决定

庭讯- 3:CNA更新

通用-丹Adinolfi

问题

行动

董事会的决定

3 -盘中一度:董事会成员变化——克里斯棺材

盘中一度- 3:05:CNA规则:提交格式-丹Adinolfi

3:05 - 3:20:CNA规则:服务CVE -丹Adinolfi

20 - 35:CNA规则:最低限度要求信息——丹Adinolfi

35 - 45:CNA培训模块——克里斯棺材

45 - 55分钟:CVE重点和任务——克里斯棺材

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:Waltermire将如何应对米勒董事会邮件方便谈话主题CVE的战略目标。

状态:完成了。

之前的活动项目:发布指导方针的变化(出处)。斜方董事会将打开一个邮件列表讨论CVE引用和它们存在的目的是什么。

状态:斜方会问库尔特将提交一个记述的起源问题。

之前的活动项目:斜方更新与git试点阶段2

状态:讨论发生了。仍然需要做一些决定之前更新。

之前的活动项目:优先考虑工件列表和项目培训。

状态:培训模块列表已经发送给董事会。概述了我们目前的董事会的管道。董事会将审查对于任何问题或想法。董事会希望看到更多信息对于每一个项目,具体每个文档的目标受众。

之前的活动项目:思科政策漏洞和服务

状态:安迪Balinsky目前正在这。

之前的活动项目:斜方正在审查的想法更好的问题跟踪。

状态:另一组在GitHub已经设置为董事会讨论问题跟踪。通量的沟通问题;斜方一起将简报的思想我们进行交流沟通在下次董事会会议讨论的方法。

议程:

工作小组

战略规划(Kent Landfield)

状态:有一个讨论需要不同类型的通信的单个元素CVE程序。不仅仅是董事会/ / CNAs冠冕,但从运维的角度来看,能够迅速协调二级CNA。

问题:

1. 需要一个直接渠道与CNA社区交流。
2. 看角色和层次结构的根,sub-roots CNAs埋在层次结构。

行动:

1. 建立二级渠道沟通所以CNAs不必经过主教法冠。主教法冠将开始这项工作通过编写目的宣言。
2. 看主CNA的角色。
3. 有一个讨论培训和优先级。培训模块代表了一个良好的开端,但我们应该清楚优先级和期望的始终。

自动化(乔治·Theall)

状态:自动化的讨论始于Git飞行员Github的潜在转移。的文本将被要求减少意外泄露的风险问题。董事会成员要求斜方提供保证他们能把信息从一个稳定的分支和开始使用,在NIST;将在一个集成或公共服务器是否取决于保证斜方可以提供。问题跟踪器中定义的讨论的问题包括简化JSON以及如何最好地代表影响版本。

问题:戴夫Waltermire感兴趣参与Git飞行员从NVD的角度来看。

行动:NIST有助于两个领域的工作:

1. 从Github下游提要。目前,NIST解析XML提要;这将是一个办法解析JSON提要。
2. 发布更多信息或修正回CVE列表。

我们可能需要结构的下一个阶段试点建立在实验。

CNA斜方

状态:CNA规则修订仍在继续。

问题:讨论集中在哪些信息应该CVE条目所需的提交和提交的格式是可以接受的。有许多不同意见的话题。

行动:主教法冠将把这些收集这些问题和分发给董事会。

CNA更新:河床和西风项目最近补充道。Github目前在加载过程中。

董事会成员变更

状态/问题:迈克·普罗塞从赛门铁克最近退休,仍列为董事会成员。

行动:

1. 横切是接触迈克来确定他是否希望继续在黑板上。
2. 主教法冠将发送一个查询所有董事会成员来验证他们的意图仍然在黑板上。

公开讨论

讨论:提交格式——它一直在提出要求提交JSON。

• 问题:讨论集中在是否去完全或继续支持JSON文本文件。如果我们继续支持其他格式,应提交需求进行修改,以确保内容反映了JSON格式吗?
• 行动:斜方和董事会找到一个工具(或一组工具)在CNAs简化这个过程。我们需要了解CNAs所以我们可以验证他们的操作会使用这个工具。
• 董事会决定:在当前CNA支持其他格式规则,但搬到一个JSON格式的下一个版本CNA规则。创建在当前规则或指导相关指导性文件列表JSON作为CNA的首选格式,直到下一个版本规则。

讨论:Github问题18:允许CVE id分配给服务

• 问题:安迪Balinsky州,“思科发布报告的政策服务或云计算产品。我们要在适当的时候创建一个CVE。”
• 行动:需要更多的研究和分析在我们介绍到今天CNA规则。
• 董事会决定:等到前进之前有更好的协议。CNA规则和计算规则包含在不会改变支持cf服务漏洞。如果在以后的研究和分析支持,可以引入一个试点项目测试任务的CVE id服务漏洞。

讨论/问题:CNA提交需求。

• 问题:当前方向CNA规则问题的讨论可能会导致大量的CVE条目必需的字段的变化。值得注意的是潜在的描述和引用,以及影响。

• 行动:大量的争论,行动是讨论下电话和电子邮件需要/不需要字段。接下来将讨论特别是:删除引用和描述。董事会认为有更多的指导的空间所需的字段。斜方会考虑添加此指导CNA规则或提供参考指导文件。
• 董事会决定:继续讨论邮件。

行动项目的总结

1. 斜方安置协作文档分享;可能握手。
2. Kurt Seifried捧场文章引用摘要/没有引用出处发行更多强大的描述。
3. 斜方发送电子邮件到董事会关于董事会成员的状态。
4. 向董事会斜方发送电子邮件询问董事会成员迈克·普罗塞的联系信息。
5. 研究工具为JSON development-query CNAs的建议会有帮助。必须喜欢看到至于JSON工具吗?
6. 安迪Balinsky将围绕cf总结问题服务。
7. 斜方会确保CVE提交需求讨论继续在董事会名单。
8. 斜方一起将简报的思想我们进行交流沟通在下次董事会会议讨论的方法。

重大决策、政策变化或事件

1. CNA规则:在当前CNA支持组CVE数据格式规则,但搬到一个JSON格式的下一个版本CNA规则。创建在当前规则或指导相关指导性文件列表JSON作为CNA的首选格式,直到下一个版本规则。
2. CNA规则:等到有更好的协议在前进之前分配cf服务漏洞。CNA规则和计算规则包含在不会改变支持cf服务漏洞。如果在以后的研究和分析支持,可以引入一个试点项目测试任务的CVE id服务漏洞。

附件:CVE董事会会议9月20分钟2017.多克斯
描述:CVE董事会会议9月20分钟2017.多克斯