(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

2017年12月CVE - 13董事会会议总结

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:CVE董事会会议总结2017年12月- 13
从:常见的漏洞和风险敞口<cve@mitre.org>
日期:2017年12月22日,星期五18:21:48 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 198.49.146.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2017年12月22日13:27:29星期五
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticoutput:1:3
Thread-index:AdN7UbPWjGQCSJ0RRAyVlHVZgtX8Bg = =
Thread-topic:CVE董事会会议总结2017年12月- 13

CVE董事会会议2017年12月13日

董事会成员参加

威廉·考克斯(黑鸭子)

安迪Balinsky(思科)

贝弗利雀(联想)

肯特Landfield (McAfee)

马尼恩的艺术(CERT / CC)

斯科特·摩尔(IBM)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组
战略规划——Kent Landfield

问题
行动
董事会的决定

自动化-乔治Theall

问题
行动
董事会的决定

庭讯- 3:CNA更新
DWF——Kurt Seifried

问题
行动
董事会的决定

一般——乔纳森·埃文斯尼克卡隆

问题
行动
董事会的决定

3 - 3:CVE CNA峰会计划——乔祈神保佑

3 - 3:3 -乔治Theall Git试点方案阶段

3 - 45:文档:
章程修改——克里斯棺材,肯特Landfield
过程文档修订——乔纳森埃文斯

45 - 55分钟:公开讨论

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:主教法冠将为线程发送注意握手网站上测试电子邮件查看。
- 状态:在过程;还是新员工培训董事会成员
之前的活动项目:战略规划小组将讨论CVE流程和国际参与

状态:完成;将在战略规划工作组读出

之前的活动项目:横切Scott Moore将完成董事会提名和发送出来。
- 状态:完成;欢迎,斯科特!

之前的活动项目:主教法冠将着眼于数据提要数据并提供结果向董事会。
- 状态:分配给乔祈神保佑;没有开始

之前的活动项目:主教法冠将会见DWF讨论Linux发行版DWF下层次结构。
- 状态:会议是TBD

之前的活动项目:斜方会发出培训幻灯片用于培训。
- 状态:幻灯片被修改,将准备审查在接下来的几周。
之前的活动项目:AWG将调查记录下游用户应该如何处理CVE数据下载。
- 状态:这个项目已经提出由于Git飞行员但这是名单上的下一个项目。
之前的活动项目:横切将提议董事会如何处理坏链接上横切CVE网站。
- 状态:尚未做到这一点,但很快就会完成。

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

状态:中央社上花了相当多的调用流程文档。讨论的一部分集中在使文档更综合的性质,不太特定的横切。肯特说,其他主要的是,周一的时间并不是对每个人都有效。我们需要想出一个更好的时间和一天见面,也许星期二或星期四。涂鸦的一项民意调查要求,但是希望我们可以缩小它几天看看效果最好。克里斯棺材补充说,也有讨论块预订和这一过程是如何工作的。也许我们可以做更多的随需应变类型的预定在未来,和废除块作业和未使用的id在今年年底。

戴夫Waltermire补充说,CNA流程中定义的角色需要更好的文档但后来我们可以讨论,因为它是提上了日程。

行动:没有一个

自动化工作小组(乔治·Theall)

状态:发送报告董事会关于第三阶段的建议。在周一的会议,我们进入更详细。戴夫Waltermire问我们如何处理的自动化问题跟踪。我们想出的一件事是使用一组始终可以保持和JSON或XML文件显示GitHub用户名与CNA相关联,他们的GPG钥匙是什么,什么块他们如果他们选择披露这些信息,等等。我们要研究拟定一个模式自动化WG和发送。

库尔特表示,董事会应该讨论是否应该发表所有CNAs块分配信息。

斯科特·摩尔补充说,IBM正在签字要求,将一些工作。

行动:没有一个

CNA更新

DWF (Kurt Seifried)

状态:正在开发使用Git的最佳实践并实现保护的重要性,“大师”分支。他会更新文档。仍在试图找出最好的方法来更新请求,我不承诺我主人的分支。在CI方面,列出了一个基本的检查之前提交。

问题讨论:这将是很高兴有供应商申报正确的名称是什么。乔纳森表示,它将会很高兴有一个注册表必须登记他们的名字。

戴夫Waltermire:从产品ID的角度来看,这将是伟大的如果供应商标记他们的产品是否容易给定的脆弱性。供应商将会做得更好的一小部分时间。有什么方法可以使更多的发生?例如,一半的NVD是什么,当他们收到一个漏洞,通过文字描述,是很有帮助的看到哪些产品是漏洞的影响。如果我们花15分钟脆弱的门,7 - 8分钟花在脆弱性配置。不容易得到。

集团的共识是,这是一个大于CVE的问题。

艺术:唯一的可伸缩的是,像我们做CVE作业和请求的工作推到边缘。如果上游标志着他们的产品容易受到x,这应该向下流动。

戴夫:脆弱性管理的工作变得更加简单,随着每一个新的供应商开始提供工作。

艺术:有一些政策、政治、技术方面。我很高兴CVE参与或使它发生。但我扔国旗范围,因为它不是我们可以很容易的同时我们也做CVE。

肯特:全球漏洞报告峰会是发生在3月在大阪。专注于获得进步和脆弱性管理大型复杂的系统问题。

库:SWID标签。如果我们开始收集这些信息并发布在一个中心和著名的位置,这不是浪费时间。它将是有用的。

艺术和肯特:SWID标签是一个潜在的解决方案的一部分。

在戴夫写文档NISTIR 8060,想一些反馈的失踪。

其他文件中提到的讨论包括:

戴夫W:我们只是想让供应商沸腾海洋的一部分,而不是整个海洋。

克里斯·C:现在正在使用什么方法让供应商煮他们的海洋的一部分?

戴夫:三个叉- 1)关注指导(SWID标记指导);2)解决尝试开发工具支持采用SWID标签(发表SWID标记验证器);3)试图组织讨论采购需求得到更大的激励。

行动:库尔特要求戴夫发送这些标准文件通过邮件列表的链接。肯特——鼓励董事会成员出现在大阪。戴夫,肯特和艺术CNA列表发送电子邮件信息我们这里讨论。

斜方(CVE团队)

状态:我们有一些组织有兴趣成为CNAs: BugCrowd, Hikvision(保安摄像机生产商在中国),Sophos, FaceBook,和vm / VSI从惠普(分裂)。没有新的CNAs添加了,我们只是在讨论的开始阶段。

讨论:没有一个

行动:没有一个

取消12月27日的董事会会议

任何问题或讨论。

CVE CNA峰会计划——乔祈神保佑

状态:接下来CNA峰会是2月13 - 14日在校园僧帽麦克莱恩,弗吉尼亚州在物流和议程开始紧缩的想法。这将是这一次工作会议,而不是训练。我们希望听到CNAs问题/挑战;如何处理开源软件和观察根/下属必须和如何在联邦环境中工作。我们欢迎来自董事会成员的反馈。将发送电子邮件到本周CNA列表。在横切校园以来,我们冲破额外的关于外国公民和国家的特殊利益,所以我们需要尽快得到与会者的名单。

讨论:可能会很高兴有一个讨论如何最好地从供应商获得正确的产品名称(CNA SWID标签等)峰会。艺术是愿意领导或指导讨论供应链库存。

我们得到了最有价值的公开讨论去年峰会期间,所以我们希望有更多的格式比训练。

董事会想参与创建议程。

行动:斜方会一起与董事会议程的初步想法和分享反馈。

3 -乔治Theall Git试点方案阶段

状态:我们建议这个会议后开始第三阶段,它贯穿。在阶段1中,我们演示了使用git分享分配信息的可行性。在第二阶段,我们搬到了一个公共回购在GitHub和第三阶段我们将致力于进一步工作流issues-validation,自动化,解决失效链接,更新描述等。这就是差不多。我们都想打开它必须以最高水平(sub-CNAs除外)。

类型的验证:签名checking-going迟到今天/明天早期。检查GPG签名。下管道:失效链接,出处检查链接(至少有一个引用,可以证实这个条目应该完成)。在十二月我们都是检查身份证的所有权。也在12月,我们将自动处理信任必须的要求。今年1月,更改你不拥有一个条目。将会有一个过程自动化分配CNA (CVE id分配)将自动添加到确保他们可以检查任何更改。

讨论:你会发布基础设施代码(如验证)在GitHub回购?不是在这个时候,但我们可以看看这个未来和潜在开始出版。你能发布的代码即使你不发布数据库?是的。这可能是一个选项。戴夫W:我们继续这样做,我们就越难改变方式和生产的公共的东西。在某种程度上,我们必须致力于这样做,进行投资。在这个问题上我们如何前进?下一步是什么?我们可以创建一个名为CVE的Git项目回购方验证,这样我们可以添加东西,在一个权威的位置? Chris adds that the data that is received has always been a closed source repository but we’re slowly moving towards Git; we’re maintaining both. Dave W: I understand that there are security challenges to address here, I know we’ve talked a lot about this but I don’t see a lot of progress being made in that direction. The progress I’ve seen is around data and where it’s published but I’d like to see progress around code. What can the Board do to ensure progress, and what are you doing in MITRE to ensure progress? Kurt: there might be value in breaking with the past. Maybe they should create the Git repo? Dave: there is a lot of work that needs to be done before we could do that—we’d have to re-invent the infrastructure.

行动:大卫将通过电话或电子邮件来解释澄清什么特定代码他看到感兴趣的开始。斜方需要建立另一个对话得到这个前进。

文档

章程修改——克里斯棺材,肯特Landfield

状态/问题:有评论宪章。更新版本昨天发出,评论,直到12月22日开放。克里斯有一些更新根据内部审核人(即文档。在不同的上下文中,使用CVE)。

讨论/笔记:这是一个非常特定的文档与斜方董事会的主持人,所以它不应该是通用的。

行动:克里斯将发送另一个版本(明天或星期五)将最近的编辑。我们需要更新网站一旦章程修订。

CNA过程文档修订——乔纳森埃文斯

状态/问题:我们一直致力于合并版本裁决来自董事会成员的反馈;修订主要围绕特定于斜方试图减少文档。有一些问题,更像是CNA规则的事情从未知道怎和CVE ID和应该如何使用它来分配ID。在最近修订的规则,我们说你必须在24小时内联系家长CNA但这可能是一个问题如果有链区域。新草案将明天准备出去。

讨论/笔记:

行动:

CNA规则

讨论:艺术:有一个问题,我们需要谈谈。文档工作,达成一致,CNA名单公布,这是我们将使用。我们不想混蛋这些家伙在不断变化的规则。艺术最后回顾了文档和注释有一些实际问题的角度看起来是由12人,使用不一致的术语,和解释事情太简单了。我们需要让这个看起来像一个完成文档而不是现在的样子。在我看来这不是完成。提出了板创建一个新版本的文档(在峰会前)。我们甚至可以在峰会上讨论。在这一点上,我假设我要继续,我要编辑CNA规则文档,然后我们可以评估接下来的步骤是什么。

克里斯:只要我们不改变过程,我们可以更新一年要更新好几次。

行动:艺术、戴夫和肯特会更新文档和鼓励其他董事会成员,希望有一个修订版本2月的峰会。肯特自愿被编辑。

建立一个讨论峰会:就好了的理解必须有什么风险,我们需要减少通过更新过程。正确的方法来管理这些风险是什么?什么变化始终是最重要的?

公开讨论

我们如何进行纠纷解决在CVE描述/ CVSS吗?库尔特的偏好是强烈建议收敛。他认为在短期内,要让其他的人,但是当我们得到一个有两个描述是不相容的CVE ?它会更好,尤其是在全球层面,允许一个语句,让它工作。如果最终用户看到的CVE两CVSS分数,在全球范围内,用户不会知道哪个相信。

戴夫Waltermire说NVD只考虑信息的公开发布。他们正试图鼓励更多的信息披露。

乔纳森共享:http://cve.mitre.org/cgi - bin/cvename.cgi?name=cve - 2013 - 0429

库:我们需要定义一个描述在根级别(只有一个),然后我们可以让更多的供应商级别的描述。

乔治:我们在CVE还没有那些水平。

答案是收敛,或者允许信任的因素使他们想要尽可能多的增加?可能需要两个的组合。

允许并鼓励收敛,看看会发生什么。当前版本不支持这个。我们会包装成列表。

用集装箱装的所有data-implications如何管理数据。需要更多的讨论的优缺点。有一个核心CVE记录和我们有容器底部附近项是一个数组不同的组织的容器给有不同的元数据的能力。

我们想要给CNAs添加授权规则的选项吗?

行动:现在自动化WG -想出一个格式

库尔特将开始电子邮件关于我们要允许行为明智的。

行动项目的总结

没有董事会会议在12/27
鼓励董事会成员参加大阪
戴夫Waltermire将发送一封电子邮件SWID标签标准文档的链接。肯特Landfield马尼恩和艺术将提供额外的信息。
斜方添加供应商和产品命名CNA峰会议程的讨论
斜方发送CNA峰会议程草案委员会反馈
戴夫对基础设施/代码应该发送电子邮件与社区共享(GitHub讨论)
斜方设置另一个电话,讨论基础设施/代码应与社区共享(GitHub问题)
斜方发送新的董事会章程草案
斜方发送新的草案CNA流程文档
斜方设置CNA规则讨论峰会(最有效的变化是什么?)
艺术,戴夫和肯特开始在CNA规则文档更新(肯特将担任编辑)
自动化工作组讨论需要授权的数据
肯特将漏洞讨论文件,将在大阪

重大决策:

没有一个

附件:CVE_Board_Meeting_13_December_2017.pdf
描述:CVE_Board_Meeting_13_December_2017.pdf