CVE董事会会议记录,2017年10月04

CVE董事会会议2017年10月04

董事会成员参加:

大卫Waltermire (NIST)

肯特Landfield (McAfee)

安迪Balinsky

Kurt Seifried

横切CVE出席的成员:

丹Adinolfi

乔治Theall

克里斯棺材

乔纳森埃文斯

乔祈神保佑

安东尼单例

亚历克斯花呢

议程

两点- 2:15- - - - - -介绍,从上次会议行动项——克里斯棺材

2:15 - 2:45工作小组

战略规划——Kent Landfield

问题

行动

董事会的决定

自动化-乔治Theall

问题

行动

董事会的决定

2:45 - 3:15- - - - - -CNA更新

DWF——Kurt Seifried

问题

行动

董事会的决定

通用-丹Adinolfi

问题

行动

董事会的决定

3:15 - 3:30- - - - - -公开讨论
行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:斜方安置协作文档分享;可能握手。

状态:在进展,展望功能文档分享和协作工具。希望下一次董事会会议之前推出的文档。将测试握手握手组通过发布董事会会议记录,以确保董事会获得一个邮件更新。

之前的活动项目:Kurt Seifried捧场文章引用摘要/没有引用出处发行更多强大的描述。

状态:完成

之前的活动项目:斜方发送电子邮件到董事会关于董事会成员的状态。

状态:主教法冠下董事会会议之前会发送邮件。

之前的活动项目:向董事会斜方发送电子邮件询问董事会成员迈克·普罗塞的联系信息。

状态:主教法冠将删除普罗塞联系信息还没有被发现。

之前的活动项目:研究工具为JSON development-query CNAs的建议会有帮助。必须喜欢看到至于JSON工具吗?

状态:斜方发送邮件这一主题,也为即将召开的峰会。这将是一个插头

之前的活动项目:安迪Balinsky将围绕cf总结问题服务。

状态:完成。安迪提交文档CVE项目回购。下次董事会会议的议程将放置讨论文档和意见。

之前的活动项目:斜方会确保CVE提交需求讨论继续在董事会名单。

状态:主教法冠将谈话为评论邮件列表。

之前的活动项目:斜方一起将简报的思想我们进行交流沟通在下次董事会会议讨论的方法。

状态:在进展,展望功能文档分享和协作工具。

议程:

工作小组

战略规划

状态:会议讨论计划的一部分,包括主题推广,培训等。讨论了CNA目录。讨论什么目标、覆盖范围、质量、数量、广泛采用需要成长CVE项目。

问题:需要的文档在解决冲突的方法。还需要角色/文档根和接头必须的责任。

行动:将继续推动更多的项目在下次会议上的目标。同时,将继续讨论规划小组的邮件列表。

董事会的决定:没有

自动化

状态:讨论建议第二阶段,试点公共回购在GitHub.com上。

讨论:试验自动化对json模式验证json文件。扩大到读/写访问回购。

问题:是什么漏洞信息的可能接触之前打算是公开的。有担心,飞行员将结束第二阶段后,但这不是和实现定义的意图和未来阶段将在接下来的几周。

行动:确保个人觉察到那个位置是公众和尽量减少错误的百分比。

董事会决策:董事会将需要审查的建议并提交他们的担忧。启动第二阶段的计划是10月11日,除非有董事会成员的反对。

CNA更新

CNA DWF

状态:迎头赶上提交和推出CVE git飞行员。改变DWF提交表单到公众视野,使编辑公共请求。

讨论:

问题:仍然在处理禁运条目以更有效的方式。

行动:将努力移动电子表格请求系统GitHub,使一个更强大的工作流。

董事会决策:

CNA斜方

状态:CVE CNA规则修订完成。CNAs会直到1月1准备新规则修改后再投入生产运行。Asustor最近加入了CVE程序。

问题:问题仍在GitHub的不断讨论和工作,但将遵循结构化特别修订过程。

行动:将发送的状态信息公开问题,本周,接下来会发生什么。

董事会决策:

公开讨论

讨论:Kurt Seifried捧场文章的摘要引用来源/发行更多强大的描述没有引用。

问题:如何更换引用被放置到CVE提交的信息。CVE历来是一个字典,而不是数据库,所以将字段添加到JSON的改变可能是徒劳的,这些数据可能不会发表。目前尚不清楚这种变化将产生何种影响下游的消费者。

这些增强功能如何影响NVD数据库?(肯特)。库尔特表明,他应该创建一个单独的工件数据库作为参考在提交传回横切。库尔特还提议把工件在一个单独的容器在JSON。

行动:

董事会的决定:DWF将创建一个单独的回购用作参考CVE提交。

讨论:CVE应该有可能实现一个标签系统,帮助数据分析。如果CVE问题每年数以百万计的CVE id为许多不同的类型和域的产品,应该制订一个标签系统,允许消费者CVE排序和使用他们感兴趣的CVE id(例如,医疗器械、汽车、IT、物联网,等等)。

问题:问题是,需要创建一个字典来控制标签的命名约定达到规范化。

行动:需要进行更多的研究和讨论充实这一问题的影响和用例。库尔特将定义一个JSON容器项目使用为例,设置会议将继续讨论。

董事会的决定:没有

讨论:DWF询问大拉请求或小向斜方CNA当提交请求。

问题:大拉被拒绝因为起源等问题在某些条目。

行动:DWF将提交小拉请求,直到流程已经完全充实。

董事会决策:没有一个

行动项目的总结

• 库尔特将容器项目。将设置一个会议添加CVE标记(分类)(med_device,汽车等)CVE JSON字段。
• 议程项目在下个呼吁与安迪对cf进行服务
• 安迪发送电子邮件到审查cf的服务文档列表
• 横切前动作条目添加到会议议程邮件前进
• 自动化WG添加行动项ci /特拉维斯集成在未来git试点阶段。大卫将与一些想法邮件自动化WG列表。
• 斜方安置协作文档分享;可能握手,创建一个报告。
• 斜方发送电子邮件到董事会关于董事会成员的状态。
• 研究工具为JSON development-query CNAs的建议会有帮助。必须喜欢看到至于JSON工具吗?主教法冠将邮件CNA列表对未来想法和植物的种子CNA峰会讨论。
• 斜方会确保CVE提交需求讨论继续在董事会名单。

重大决策、政策变化或事件

• 没有一个

附件:CVE董事会会议纪要2017.多克斯。10月04
描述:CVE董事会会议纪要2017.多克斯。10月04