CVE董事会会议总结——2017年11月29日

2017年11月29日CVE董事会会议

董事会成员参加

威廉·考克斯(黑鸭子)

肯特Landfield (McAfee)

斯科特·劳勒(LP3)

塔基•中山教授(JPCERT)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

乔纳森埃文斯

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——乔祈神保佑

2 -庭讯:工作组

战略规划——Kent Landfield

· 问题

· 行动

· 董事会的决定

自动化-乔治Theall

· 问题

· 行动

· 董事会的决定

庭讯- 3:CNA更新

DWF——Kurt Seifried

· 问题

• 与子CNAs分叉dwf回购一些操作问题被发现。

· 行动

• 努力建立分支方法当前分支实践,将协助保持回购清洁用更少的问题。

· 董事会的决定

一般——乔纳森·埃文斯尼克卡隆

· 问题

· 行动

· 董事会的决定

3 -盘中一度:CVE董事会握手网站提醒——乔祈神保佑

盘中一度- 3:00:董事会成员——乔祈神保佑

3:00 - 3:15:破碎的讨论——乔治Theall引用

3:15 - 55分钟:公开讨论

55 - 4:行动项目,总结——乔祈神保佑

从上次会议行动项

· 库尔特和GitHub成为中央社

• 状态:库尔特将与GitHub CNA带给他们。库尔特和GitHub,但新员工培训的日期尚未确定。

· 继续邮件讨论通过CVE申请表有问题的作业为低于标准的报告,禁止请求者,被删除的引用

• 状态:斜方没有收到任何新邮件从GitHub的Carsten回购被清除。主教法冠林接触关于回购。他没有提供一个原因是清除但用原始数据重新填充它。

· 医生提供CNA过程通过握手和电子邮件

• 状态:完成。横切是由玉米12/4/17寻找反馈文档。

· 戴夫Waltermire自愿审查当前CNA规则所需的物品和灵活的物品。

• 在会议上更新状态:将提供所有评论一旦他完成审查。希望把它准备好了12/1与战略规划工作小组审核。

· CVE团队将开始讨论额外的技术领域和地区应该CVE报道。

• 状态:进行中。

· 讨论(即建设基地。、识别和新员工培训根CNAs)将由战略规划工作组讨论。

• 状态:今天的会议将讨论这一点。指议程项目笔记。

· 戴夫Waltermire将确定CVE质量问题,提高董事会。

• 状态:(在会议更新)将继续努力,将继续沟通的问题中发现的条目。

工作小组

战略规划——Kent Landfield

· 问题

· 行动

• 回顾CNA处理文档
• 希望找到一个新的会议时间,工作小组的成员。
• 会议搬到12/1

· 董事会的决定

• 没有一个

自动化-乔治Theall

· 问题

• 库尔特指出的重要性使用分支提交CVE数据。
• 库尔特继续在AWG工具努力工作。

· 行动

• 结束讨论第三阶段的GIT飞行员。
• AWG收到草稿的提议
• 希望在下周董事会通过邮件列表。

· 董事会的决定

• 没有一个

CNA更新

DWF

· 问题

• 子CNAs分叉DWF回购导致一些操作问题。

· 行动

• 努力建立分支方法当前分支实践,将协助保持回购清洁用更少的问题。

· 董事会的决定

• 没有一个

一般——乔纳森·埃文斯尼克卡隆

· 问题

· 行动

• 大多已处理问题反应迟钝的区域后看起来像技术上的困难,而不是必须忽略请求者。

· 董事会的决定

• 没有一个

CVE董事会握手网站提醒

• 我们将继续转变CVE董事会功能握手合作平台。一些董事会成员还没有完成注册的过程。一些邀请已经过期;新邀请将发送指令来完成这个过程。
• 测试与消息线程将很快举行。

董事会成员

• 斯科特·摩尔表示有意加入CVE董事会。文书工作提名过程中,发送到私人董事会名单时完成。

破环参数的讨论

• 这有两个方面来处理
  • CVE网站上如何呈现数据=修改公共网站,使失效链接un-clickable使用击穿和标签作为过时,然后指向档案如果可用。
  • 在下载,一种选择是前缀引用源名称;例如,“过时——[sourcename]”。需要提供下游用户,这可能发生。第二个是添加标志来源声称他们被打破,这种方法更具有破坏性的下游用户。
  • 董事会建议创建文档如何正确解析和处理CVE数据可以流体在其建设。一个建议是,这可能是自动化工作组的工作。
  • 董事会认为提议更改CVE横切网站发送给董事会名单。
  • 主教法冠将着眼于分析使用的数据提要。肯特希望看到这一信息在1或2幻灯片和提交给董事会。
• 斜方提供支持——细节可能的域类型
  • 域名停放或改变所有权(allaire.com / conectiva.com.br / immunix.org ksrt.org)
  • 域仍注册到原始所有者,但不返回任何值(bindview.com /ftp.caldera.com/ stage.caldera.com iss.net linux-mandrake.com mandriva.com milw0rm.com vil.nai.com ntbugtraq.com sunsolve.sun.com trustix.net trustix.org)
  • 域仍活跃但引用url被打破(atstake.com / bea.comwww.caldera.com/ calderasystems.com compaq.com eeye.com l0pht.com macromedia.comwww.nai.com/ osvdb.org blogs.sun.com bugs.sun.com docs.sun.com vupen.com)

公开讨论

• 肯特认为董事会章程应该重新审视和几项应该补充道。宪章州年度评审。

• 肯特提醒僧帽,先前的行动项目应该被包括在为即将举行的董事会会议议程。

• 处于何种地位的CVE董事会邮件列表参与反应。斜接人没有回应将审查过程。

• 一些组织已接近斜方加入努力开源。主教法冠已经指示他们DWF。目前尚不清楚对根来说,主要的职责是什么。横切为组织提供培训。董事会想找出DWF是否能够处理这些操作,如果不是董事会和程序如何协助DWF起床速度。最大的问题将是协调与组织DWF想监测大范围的开源库,回购等。

• 大卫Waltermire认为会议各方看到进步和如何得到DWF离地面和运行完全操作。可能提出的想法建立multi-cna DWF的管理结构。

• 培训文档信息覆盖的过程文档发出向董事会进行审查。主教法冠目前用于培训新CNAs幻灯片。斜接的方法是采取在董事会审议的过程文档2周,在此期间斜方写的下一个文档。

• 讨论CNA邮件列表线程应该使用“cve - 2015 - 7501”发生于固体的解决方案被放置的位置。斜方解释说他们理解和位置的问题参考CNA规则。

• 斜方讨论Carsten的原始邮件线程通过调整他的问题与当前进程横切用途分配id漏洞。董事会希望横切找到“幸福的媒介”的作业质量和减少所花费的时间分配id。

• 董事会询问CNA峰会并提供反馈潜在结构和思想需要解决什么问题以及如何解决这些问题。

行动项目

• 主教法冠将为线程发送注意握手网站上测试电子邮件查看。

• 战略规划工作小组将讨论CVE流程和国际参与

• 横切Scott Moore将完成董事会提名和发送出来。

• 主教法冠将着眼于数据提要数据并提供结果向董事会。

• 主教法冠将会见DWF讨论Linux发行版DWF下层次结构。

• 斜方会发出CNA训练使用的幻灯片。

• 自动化工作组将研究记录下游用户应该如何处理CVE数据下载。

• 横切将提议董事会如何处理坏链接上横切CVE网站。

附件:CVE_Board_Meeting_Summary_29_November_2017.pdf
描述:CVE_Board_Meeting_Summary_29_November_2017.pdf