CVE董事会会议总结——2017年11月15日

2017年11月15日CVE董事会会议

董事会成员参加

威廉·考克斯(黑鸭子)

肯特Landfield (McAfee)

Kurt Seifried (Red Hat / DWF)

帕默(出现/普渡大学)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

乔纳森埃文斯

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组

• 战略规划——Kent Landfield

• 问题
• 行动
• 董事会的决定

• 自动化-乔治Theall

• 问题
• 行动
• 董事会的决定

庭讯- 3:CNA更新

• DWF——Kurt Seifried

• 问题
• 行动
• 董事会的决定

• 一般——乔纳森·埃文斯尼克•卡洛乔祈神保佑

• 问题
• 行动
• 董事会的决定

3 - 3:文档:CNA流程——乔纳森埃文斯

3 - 3:讨论:通过CVE申请表有问题的作业为低于标准的报告——克里斯棺材和乔纳森·埃文斯

电子邮件线程上邮件列表10/23 - 11/13。

3 - 45:CVE通信、文档存储库和协作——乔祈神保佑

45 - 55分钟:公开讨论

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项

• 之前的活动项目:戴夫Waltermire自愿审查当前CNA规则所需的物品和灵活的物品。
  • 状态:戴夫在11/14发邮件给董事会,说他计划很快完成审查
• 之前的活动项目:主教法冠将安排一次董事会会议,包括从GitHub的代表。
  • 状态:库尔特已经会见了GitHub,已经在与他们的讨论CVE CNA。他们正在寻找被分成两个区域一个用于自己的产品,一个为第三方代码,他们发现漏洞在其正常业务的一部分。库尔特将与CVE团队和董事会如果有问题或问题。库尔特说:可能会创建2区域一个Github的所有产品,一个为自己的产品。需要其他必须明确在Github马克覆盖产品以避免冗余。沟通通过CNA列表将帮助。
• 之前的活动项目:主教法冠将开始讨论额外的技术领域和地区应该CVE报道。
  • 状态:还没有完成。主教法冠将继续作为一个行动项下电话。
• 之前的活动项目:讨论(即建设基地。、识别和新员工培训根CNAs)将由战略规划工作组讨论。
  • 状态:战略规划WG文档可以帮助开始这段对话是在发展。一些相关的讨论发生在战略规划工作组会议上11/13。
• 之前的活动项目:讨论坏链并处理的CVE下载和JSON将继续在董事会邮件线程。
  • 状态:还没有完成。主教法冠将继续作为一个行动项下电话。继续讨论处理失效链接的网站,提供了一些有用的建议。
• 之前的活动项目:戴夫Waltermire将确定CVE质量问题,提高董事会。
  • 状态:他将这样做在一个正在进行的基础上突出质量问题影响下游使用CVE信息。

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

状态:肯特正在装配文档包括了最近的对话策略,需要回答的问题,前进道路上的想法是什么。他希望在未来几周。仍然有一些争用把博思艾伦作为CNA的研究模型。渴望有一个更大的障碍进入这个项目,也许10“好”CVE阈值,和一个董事会面试吗?还需要确保它不会成为难以加入。战略规划工作组开始讨论CNA要求在11/13会议,并将继续这个讨论在稍后的会议。

行动:没有一个

自动化工作小组(乔治·Theall)

状态:额外的创意阶段3工作组会议中讨论了11/13。一些自动化试点的目标:

1)自动把请求的验证,(JSON是第一,更来)

2)自动接受策略(IBM是第一个信任中央社,他们的数据将直接通过,CVSS从NIST)

3)测试来确定GitHub同时处理多个来自多个数据源的更新发生(Heartbleed)。

4)管理通过GitHub的纠纷问题。

行动:没有一个

CNA更新

DWF (Kurt Seifried)

状态:没有一个

问题讨论:没有一个

行动:没有一个

斜方(CVE团队)

状态:博思艾伦和SAP作为必须添加的。SAP和报告截至12月上市。

讨论:乔纳森·埃文斯和乔·尼克Caron祈神保佑会分享CNA-related任务。

行动:没有一个

文档:CNA流程

状态/问题:CNA流程草案已用于董事会审核。董事会直到穗轴12月1日审查和提供反馈。

讨论/笔记肯特:强烈建议CVE团队提供一个单独的电子邮件线程文档审查前进。线程在董事会名单将帮助,鼓励更多的参与。

行动:CVE团队为董事会提供董事会电子邮件线程和握手宣布有关评审任务和附加文档。

讨论:通过CVE申请表有问题的作业为低于标准的报告

问题:问题作业为低于标准的报告董事会电子邮件线程:我们有一个个人请求一堆可疑的id为一个单一的产品,(个人的问题可能是一个人,在中国大学的学生)

讨论/笔记:

我们正努力把问题分解成多个核心或根的问题。

禁止一个请求:我们应该鉴于CVE是自愿的吗?

• Stack Overflow讲社区/巨魔。如果我们不能教育提供者,我们应该减少我们的损失。DWF反弹的1/3贫穷的请求。基于历史,忽略某些DWF请求(请求维护);这可以有效地禁止。
• 历史上,发生了CVE没有禁止任何人,暂缓基于拒绝提高稿件的质量。
• 兑现库尔特的想法研究员评审程序?明星评论?
• 库尔特的方法:交叉引用邮件和拒绝,这提供了一个直接的数据集。
• 良好的请求者成为一个积极的发展历史;这阻碍了电子邮件跳跃。
• 我们如何代表质量的社团,并保持透明吗?
• 我们更容易提交CVE请求,我们需要提供一根胡萝卜;一个评级系统将确保研究人员仍在努力。
• 这有一个自动化的解决方案?
• 一个考虑因素:我们需要明确的公共/非公开信息的分离
• 我们不能做任何事情没有公共数据源虽然是透明的

GitHub库中删除:

• 从这个人已经放弃了所有问题,他们的GitHub库清理。
• 库:隐私的期望走了,因为这是出版”
• 我们需要调查是否有恶意;斜方会要求研究者为什么GitHub回购被清除了
• 我们可以创建自己的回购,CVE旗下跟踪孤立的信息,作为供应商。
• 有工具抓取页面,可以用来捕捉内容。我们需要考虑诸如恶意软件,但它应该属于合理使用
• 另一个选择可能是CVE提交归档的所有引用。这是有问题的,然而,随着提交者可以选择退出。
• 也指出,少量的cf可以追溯到1999年初没有引用。
• 我们如何监控cf没有引用?我们如何确保这些cf被引用在未来吗?
• 我们想要接近多少形式化坏请求者?

行动:把这个讨论董事会邮件线程。斜方联系研究者理解为什么GitHub库被清除了。

CVE通信、文档存储库和协作

状态/问题:总结当前和未来的CVE通信、存储库和协作的选择。

讨论/笔记:

• 目前有许多运动部件在通信技术中,文件托管和内容的发展。
• 横切是微软组,从论坛到需要保持合规。
• 这将导致一些事情的工作方式的变化。
• 的变化将发生在12月底。
• Nabble电子邮件web存档当前主机公众CVE邮件列表。斜方正在调查替代产品。(邮件归档、MarkMail Hypermail)
• 文档存储库是有组织的如下:
  • 最后,批准文件将继续驻留在CVE网站。
  • 文件有了CVE董事会委员会审查和批准将驻留握手。
  • 文档协作开发和编辑的过程中会驻留在CVE GitHub库。
  • 通知上传的文档进行编辑,审查和批准将通过董事会处理列表或通过握手的邮件,发送自动上传。
• 握手将用于问题跟踪和在线讨论

行动:一些当前问题和文档的评论将在握手来对其进行测试,看看它是否满足董事会的需要。

行动项目的总结

• 库尔特和GitHub成为中央社
• 继续邮件讨论通过CVE申请表有问题的作业为低于标准的报告,禁止请求者,被删除的引用
• 医生提供CNA过程通过握手和电子邮件
• 戴夫Waltermire自愿审查当前CNA规则所需的物品和灵活的物品。
• CVE团队将开始讨论额外的技术领域和地区应该CVE报道。
• 讨论(即建设基地。、识别和新员工培训根CNAs)将由战略规划工作组讨论。
• 讨论坏链并处理的CVE下载和JSON将继续在董事会邮件线程。

重大决策:

没有一个

附件:CVE董事会会议总结11月15日2017. pdf
描述:CVE董事会会议总结11月15日2017. pdf