(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

CVE董事会会议总结2018年1月- 10年

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题:CVE董事会会议总结2018年1月- 10年
从:“棺材,克里斯" <ccoffin@mitre.org>
日期:-0500年结婚,2018年1月17日17:00:50
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 192.52.194.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2018年1月18日14:04:48星期四
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:“owner-cve-editorial-board-list@lists.mitre.org" <owner-cve-editorial-board-list@lists.mitre.org>
Thread-index:AdOP3PoBP9NgAAoKS7alupxv8rDUxw = =
Thread-topic:CVE董事会会议总结2018年1月- 10年

CVE董事会会议2018年1月10日

董事会成员参加

安迪Balinsky(思科)

马克·考克斯(Red Hat)

贝弗利雀(联想)

肯特Landfield (McAfee)

马尼恩的艺术(CERT / CC)

斯科特·摩尔(IBM)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

斯科特·劳勒(LP3)

肯•威廉姆斯(CA)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作组
战略规划——Kent Landfield

问题
行动
董事会的决定

自动化-乔治Theall

问题
行动
董事会的决定

庭讯- 3:CNA更新
DWF——Kurt Seifried

问题
行动
董事会的决定

一般——乔纳森·埃文斯尼克卡隆

问题
行动
董事会的决定

3 - 3:CVE CNA峰会议程的主题——乔祈神保佑

3 - 3:CNA -大卫Waltermire反馈机制

3 - 45:CVE董事会成员,交替和继任计划——克里斯棺材

45 - 55分钟:公开讨论

55 - 4:行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:戴夫Waltermire将发送一封电子邮件SWID标签标准文档的链接。肯特Landfield马尼恩和艺术将提供额外的信息。
- 状态:发出后的第二天最后一次会议在12/14
之前的活动项目:斜方添加供应商和产品命名CNA峰会议程——做了讨论
- 状态:完成
之前的活动项目:斜方发送CNA峰会议程草案向董事会反馈——附呈
- 状态:这将作为一个讨论在今天的会议议程
之前的活动项目:戴夫对基础设施/代码应该发送电子邮件与社区共享(GitHub讨论)
- 状态:没有见过专门在这;克里斯棺材将达到戴夫Waltermire
之前的活动项目:斜方发送新的董事会章程草案
- 状态:将发送另一个消息后董事会今天;准备提交选票
之前的活动项目:斜方发送新的草案CNA流程文档
- 状态:打破之前发出但没有收到任何回复
之前的活动项目:斜方设置CNA规则讨论峰会(最有效的变化是什么?)
- 状态:今天我们将讨论列表的一部分。
之前的活动项目:艺术,戴夫和肯特开始在CNA规则文档更新(肯特将担任编辑)
- 状态:在进步
之前的活动项目:自动化工作组讨论需要授权的数据
- 状态:这是讨论,但没有正式的。
之前的活动项目:肯特将漏洞讨论文件,将在大阪
- 状态:脆弱性标准文档发送在12/13/17最后点名后(右)和可作为大阪课前阅读

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

状态:一个问题工作组一直在试图找出CVE的角色/功能计划在联邦环境中。例如,主CNA真的是什么意思?它只是一个分组的角色吗?肯特提出幻灯片“CVE项目角色。“这些描述如何组织CVE未来4到5年。这概括了各种项目:政策方面、法律方面,CVE等等。。角色授权数据出版商是新的;NVD相似。这将是一个角色,将存在在一个顶级(程序)和在特定的根源。最后的CNA (CNA-LR)是在根水平; ensures that if there are direct conflicts, they determine that. Also, where no coverage exists (outside existing CNA scopes). This role would take care of retail assignments and at the same time, we believe that the roots should be a CNA-LR for their scope; the information they understand about their environment is most accurately addressed within that root. There is the potential for having a CNA-LR be an actual role inside the root. Or they could designate that to an outside organization. Trying to establish a group of roles that depict what MITRE’s current position is, so that we can break this up conceptually and have a better understanding as to where we are trying to go in the future (federated environment). Trying to establish a federated structure so we can put some meat behind this standpoint going forward. Dave Waltermire said some of his thinking when creating these roles came out of the CNA Rules document. There is some duplication of responsibilities currently; how would the CNA Rules fall out in a more granular, rule based approach? These proposed roles would create clear lines of communication and oversight, and will help us have a more productive conversation in terms of who under what role needs to do what. Kent said they are trying to establish these roles to make sure they are legitimate and to add flexibility so that the roots have some control, as well. Makes sense to have a CVE Mentor program. All roles are up for discussion; they aren’t hard and fast. We are going to try and flesh these out a bit more so that they can be understood by all. Other things we need to address and have answered. But the key is that when we started having these conversation, it stemmed from what Dave saw in the CNA rules. The slides will serve as a conversation point for next couple of meetings.

讨论了另一件事是想找到合适的时间见面,考虑到不同成员的不同的时区和时间表。贝弗利雀涂鸦的一项民意调查进行的。会议将在星期一下午4点,等。

行动:分享幻灯片和得到董事会的评论(Dave Waltermire发布:https://docs.google.com/presentation/d/1rgGG9nwbvzccHPYJhbgRxLa9PhAnSj8t5m5dzsQuIxg/edit滑= id.p17)。克里斯棺材需要发送更新邀请星期一下午4点等。

自动化工作小组(乔治·Theall)

状态:乔治传送到该集团董事会的要求组织文档的用户应该如何下载CVE数据和表示,还没有开始工作。讨论了自动化阶段3的地位。简要讨论在GitHub CNAs参与飞行员。我们怎样才能最好地支持CNAs在一组设置有问题吗?讨论了如何与社区共享基础设施和代码没有进入细节。讨论实现JSON和扩展non-CNA CNA注册的供应商。每个CNA CNA本身的信息将保持,比如GitHub用户授权提交请求,可以范围、安全points-of-contacts等。将起草和发送到自动化工作组。库尔特注意到很多人引用NVD下载,他想知道如果我们可以下载引用或统计数据。有多少人去斜方和NVD吗?肯特认为大多数供应商从NVD日常提要; not MITRE. Dave said he suspects that once we start augmenting data in GitHub with CVSS scores, etc., that may actually start to shift.

行动:

CNA更新

DWF (Kurt Seifried)

状态:Kurt Seifried说他们扫清了2017积压,大约有200个严重形成CVE请求,可以用于训练目的。不要在非结构化数据了,除非是被禁止的东西,但即使这样,将考虑创建一个模板。这是非常耗时的。

问题讨论:

行动:

斜方(CVE团队)

状态:没有收到任何新的CNA请求。我们要做一些培训Hikvision在下周(http://www.hikvision.com)。几个区域要求本月培训但没有计划。亚马逊伸出手说,他们几乎已经准备好成为一个中央社和愿意加入峰会如果可能的话。克里斯棺材问如果有反对代表从亚马逊在峰会上;没有表示反对。肯特Landfield补充说,我们不想在峰会上做培训,但在亚马逊参加网络用途将是一件好事。

致力于CNA报告卡应该是下个星期的某个时候(-19年1月15日)。

讨论:没有一个

行动:没有一个

CVE CNA峰会计划——乔祈神保佑

状态:提出了主题:

小组讨论——CVE的当前状态和CNA计划——我们需要扩展程序——克里斯•Levendis克里斯棺材,乔纳森·埃文斯汤姆米勒
CNA面临问题和挑战CNAs -内容质量,解决冲突,CNA培训,和其他棘手问题
小组讨论——加速CVE数据交换:自动化和Git飞行员——乔治•Theall肯特Landfield Kurt Seifried尼克·卡隆
崩溃、幽灵和CVE:处理跨多个厂商漏洞,存在多个问题
车间马尼恩- CVE和供应链关系的艺术,主持人
过程分配CVE id和格式报告——拉里·Cashdollar主持人
cf的开源软件
CNA新员工培训与管理——乔纳森·埃文斯尼克卡隆
CVE联合会哲学——根区域Sub-CNAs,他们是如何组织的
CNA规则2.0讨论——的影响变化,和其他增量变化将如何影响CNA操作
硬件应纳入CVE如何?
将服务纳入CVE有价值吗?
开发一个注册的供应商和产品名称,CNA和non-CNA联系人列表JSON

讨论:

乔·祈神保佑:建议在2/13的早期开始和结束在2/14中午。是,好吗?肯特说我们会一直在那里,所以我们需要确保我们完成一切。让我们工作提上议事日程,看看我们需要多少时间。

小组讨论——CVE的当前状态和CNA计划——我们需要扩展程序;我们在哪里,并计划未来——克里斯•Levendis克里斯棺材,乔纳森·埃文斯汤姆米勒吗
CNA面临问题和挑战CNAs -内容质量,解决冲突,CNA培训,和其他棘手问题

> >讨论:肯特Landfield——接触的想法CNA列表会有用,因为他们希望看到讨论;还是否有人愿意站出来说这些问题。这似乎与后来的“重叠CVE联合会哲学——根区域Sub-CNAs,以及它们如何被组织。”应该删除“未来计划”从这个演讲,让它的哲学讨论。

小组讨论——加速CVE数据交换:自动化和Git飞行员——乔治•Theall肯特Landfield Kurt Seifried尼克·卡隆

> >讨论:肯特Landfield这可能更适合戴夫Waltermire。Kurt Seifried表示,他将不会出席,但通过telecon可用。

崩溃、幽灵和CVE:处理跨多个厂商漏洞,存在多个问题

> >讨论:肯特Landfield这可能是第一个漏洞工作组可以参与。Kurt Seifried小镇的担忧越来越cf迅速出版。信任CNA填充CVE吗?肯特Landfield——我们需要一段抽象为每一个关注的焦点是什么主题,这样我们不都把我们的行李。乔治Theall说这只是一个问题,直到我们自动化。肯特Landfield我们可以把这变成一个“如果”的对话而不是我们决定的东西。我们想知道工作的始终。设置主题领域,然后打开地板上是一个很好的利用我们的时间,因为我们需要听到的反馈。乔祈神保佑每个主题将起草了一个段落。它是值得拥有一个单独的讨论开源吗?Kurt Seifried——原始CNA需要保持桶。马尼恩艺术建议增加CNA的规则,如果你多供应商的指定人的问题,这是你们的责任,然后快点,推动填充条目。库尔特Seifried-Biggest决策归结为如果原始CNA不填充它在一定的时间内,谁填充它?斜接吗?另一个可信CNA ? What is the timeframe? We need to have some standards in place to address this.

车间马尼恩- CVE和供应链关系的艺术,主持人

> >讨论:肯特Landfield——协调成为一个关键方面。Kurt Seifried CVE试图避免一件事是决定作战需求。每个人都船只开放源代码;不确定CVE是正确的论坛。克里斯Coffin-I认为这更有指导人们可能知道会发生什么,以及如何解决这一问题。艺术Manion-I仍然愿意适度这个话题;我将给一些想是否这是反暴力极端主义的问题。如果我们的议程是完全没有这个话题,我们可以讨论表。克里斯Coffin-this可以备份的话题。

过程分配CVE id和格式报告——拉里·Cashdollar主持人
CNA新员工培训与管理——乔纳森·埃文斯尼克卡隆
CVE联合会哲学——根区域Sub-CNAs,他们是如何组织的

> >讨论:克里斯棺材——可能是好的介绍幻灯片之前,肯特关于角色。肯特Landfield-I看到联盟方面作为一个过渡到未来。这本身可以获得很多谈话或没有,但这里需要分开讨论。

CNA规则2.0讨论——的影响变化,和其他增量变化将如何影响CNA操作

> >讨论:克里斯Coffin-get CNA的想法我们需要更新CNA规则。戴夫Waltermire-how,一般来说,改变CNA规则影响它们吗?我们需要更好的了解变化的影响。

硬件应纳入CVE如何?

> >讨论:克里斯Coffin-should计数规则包括具体建议如果是硬件的问题?Kurt Seifried——英特尔的事情就是一个很好的例子,因为我认为物联网。对于硬件,我们需要看更多的合并,因为供应链的工作方式。克里斯坟墓我们还需要确保我们定义范围。

将服务纳入CVE有价值吗?

> >讨论:肯特Landfield-that将是一个很好的讨论。安迪Balinsky表示他将不能参加此次峰会。Kurt Seifried——有可能邀请某人从云安全联盟(Victor下巴),也许看着cf的东西是纯粹的服务?没有反对意见。乔纳森Evans-we亚马逊可以问,因为他们想要发送一个代表,如果他们从AWS,有人有兴趣参加。

开发一个注册的供应商和产品名称,CNA和non-CNA联系人列表JSON

> >讨论:克里斯棺材,在自动化工作组讨论的一部分。

艺术Manion-I看到这些截然不同的主题;我集团供应链的产品名称主题的话题。Kurt Seifried我建议我们添加服务名称作为一个独立的主题。也许相同的硬件。

克里斯Coffin-any建议额外的主题?肯特Landfield再次表明,一段被创造为目的的这些和发送到董事会,让他们想想也许修改。

行动:主教法冠r每个到CNA列表看到他们想看到的东西了;还是否有人愿意站出来说这些问题。乔将草案为每个车间一段抽象的主题,向董事会进行审查。

CNA反馈机制(Dave Waltermire)

状态/问题:克里斯Coffin-this议程项目指的是通信中必须有与一个或多个CNAs有关的问题。我们需要其他CNAs和社区之间建立直接的反馈。戴夫Waltermire-my一般关心的是有许多CNA相关费用。在联邦模式下,我们需要确定谁是负责中央社。这是一个接触的地方可能是一个耗时和痛苦的任务如果你不知道谁是正确的人说说话。还有一个需要促进通信在不同的利益相关者在这个社区。感兴趣有一个更长期的对话如何解决这个问题。克里斯灵柩、今天,斜接这个(接触)信息CNAs但不分享它。这意味着斜方必须在中间区域之间的所有通信。戴夫Waltermire-as CVE联合,始终需要能够交流。 Kent Landfield—this is a perfect topic of discussion for the summit. Dave Waltermire—should be early in the day, maybe with the discussion on roles. This will help frame a lot of discussions.

行动:克里斯·马尼恩棺艺和肯特Landfield,我们需要发送一些信息向董事会上我们已经讨论了这个话题。戴夫Waltermire说,他很乐意加在一起一两个幻灯片开始谈话。

CVE董事会成员、交替和继任计划(Chris棺材)

状态/问题:克里斯棺艺马尼恩()和我讨论如果[可能]备份对董事会成员如果他们不能打一个电话。要运行它,每个人都明白你想让一个临时或永久的替身。肯特Landfield-if董事会成员想辞职,他们可以这样做。他们可以提名某人在他们离开之前经历的过程。从临时选举的角度来看,这不是在宪章我们现在和他们无法投票。投票将是一个我不会欢迎备份或替身参与者,除非你想添加这个人作为董事会成员。戴夫Waltermire-I同意你说的话。我认为董事会的前提是它由一组独立的主题专家(sme)。我们之所以制定了一票/组织的规则是我们不想让任何一个组织不正当影响。我不确定接近你的问题建议创建正确的激励(即。意外后果定律)。 We are trying to expand the participation of the board by getting more individuals who are passionate about the topic. We are trying to get more diverse perspectives. I’m afraid if we say the common practice is to nominate your co-worker so that you have a backup, that doesn’t facilitate the diversity of the Board. But from a voting perspective, and you want to designate a proxy because you’re going on vacation, that poses some problems because you may lose the SME aspect. Maybe for a period of time, you could assign a proxy to cover for you. If I went on travel for a couple of weeks and I knew there was a vote coming up, I could see where I would give someone instructions on how to vote on my behalf. That doesn’t violate the spirit of what we are trying to do here. Or we could extend the voting period. Kent Landfield—or we could pre-vote perhaps but that may be problematic as well. Dave Waltermire—so that may be the only niche where having a proxy might work. Kurt Seifried—that’s how I ended up on the board, as a proxy for Mark Cox. Maybe we could look into different levels of membership (junior/senior). Mark Cox—you could perhaps appoint your proxy from within the Board members. Kent Landfield—this is an open discussion we need to think about and come back to. Chris Coffin—another thought. The board today is specific individuals, but there are organizations that want to be a part of the Board. Dave Waltermire—we need to have conversations about how CVE is governed. The governance organization may change over time. This is more of short-term tactical change but we need to have a bunch of longer term, strategic conversations. Kent Landfield—we’ve done that in the past and it did not go well (organizations vs. individuals). I would be against anything that took it away from the individuals at least in the near term. Dave Waltermire—how do we resolve this in the short term? Kent Landfield—reality is we are about to go to a Board vote on the Charter. Do we want to hold off on the vote to perhaps add in some verbiage about adding a proxy or back-up in the Charter? Dave Waltermire—does anyone have any proposed text on this? Chris Coffin—no. I vote we go forward with the vote on the charter (all agreed).

行动:添加这一主题为下次会议议程。

公开讨论

马克•考克斯:不再与红帽产品安全小组。新角色与Apache和OpenSSL相关联。他有更多的时间专注于CVE。肯·威廉姆斯看斜方用于CVE标识和跟踪问题吗?特别是关于布莱恩马丁提出的问题。克里斯坟墓我们使用内部基于CVE的票务系统形式。布莱恩通常发送我们的事情CVE@mitre.org,所以它是不那么正式。我们可能想要鼓励他开始使用表单。肯•Williams-yes就好了如果我们能从中获得的指标,如果这些问题可能是公开的。库尔特Seifried-the cvelist回购是公共(GitHub)。

行动:

行动项目的总结

斜接接触必须通过CNA列表会关于峰会主题思想
主教法冠将发送当前列表的峰会主题更具描述性的内容
戴夫Waltermire将整合一个幻灯片直接CNA反馈(CNA峰会主题)
下次董事会会议,我们将继续讨论代理/备份董事会成员
斜方发送一个新的会议邀请更新时间/天(周一下午4点。等)的自动化工作组
接触到AWS和云安全联盟,看看我们可以参加峰会关于服务和CVE讨论

重大决策:

没有一个