弗兰克-威廉姆斯:提出了CVE CNA峰会议程的话题,2018年2月13 - 14日

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题弗兰克-威廉姆斯:提出了CVE CNA峰会议程的话题,2月13日- 14日,2018年
从:“Landfield,肯特" <Kent_Landfield@McAfee.com>
日期:星期二,2018年1月23日21:46:38 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 192.52.194.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =没有行动=没有header.from = McAfee.com;
交货日期:2018年1月23日17:12:48星期二
在回复:< DM5PR09MB11642BED45D9A2942A6CBA00B1E30@DM5PR09MB1164.namprd09.prod.outlook.com >
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
引用:< DM5PR09MB11642BED45D9A2942A6CBA00B1E30@DM5PR09MB1164.namprd09.prod.outlook.com >
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2
Thread-index:AdOUjNIK00jl6W + tSa2gAWK9v9 p7f / / qRCA
Thread-topic:提出了CVE CNA峰会议程的话题,2018年2月13 - 14日

CNA峰会议程看起来合理。只要政府仍然是开放的,戴夫,我将CVE联邦哲学和温和的讨论。就我个人而言,我认为我们需要包括备份会话在整个议程。将会涉及到的一些muti-vendor讨论。好像话题讨论,这组参与者的类型可以增加实际价值。(下面也纠正你的编号…;-)

谢谢,谢谢,谢谢,谢谢,谢谢!,Спасибо!,谢谢!,ありがとう,धन्यवाद!

- - -

肯特Landfield

+ 1.817.637.8026

kent_landfield@mcafee.com

来自:代表CNA协调员邮件< owner-cve-cna-list@lists.mitre.org > < cna-coordinator@mitre.org >
日期:星期二,2018年1月23日还有3点
:cve-cna-list < cve-cna-list@lists.mitre.org >
主题:提出了CVE CNA峰会议程的话题,2018年2月13 - 14日

亲爱的CNA -代表

下面列出的主题CVE CNA峰会,这是2月13 - 14日举行2018年麦克莱恩冠冕,VA校园。请检查它,如果你额外的话题,你希望看到,请回复此电子邮件与你的建议和评论。一个单独的电子邮件指示出席,方向横切麦克莱恩的网站,和住宿将很快即将到来。

谢谢您的参与和支持;我们期待收到你的!

问候,

横切CVE团队

> > > > > > > > > > > > > > > > > >

小组讨论——CVE的当前状态和CNA计划——我们需要扩展程序

这是一个介绍性的小组讨论设计来描述我们的CVE项目,已取得的进步,在推进一个联邦系统,将使CVE规模在未来。

CVE联合会哲学——根区域Sub-CNAs,他们是如何组织的

这次会议将涵盖一系列问题:

o 联邦CVE项目的当前状态

o 我们今天面临的问题和挑战

o 我们如何过渡到未来?

这次会议还将提供一个讨论的CVE董事会提出CVE操作程序结构,将更好地成功的项目定位成CVE尺度满足越来越大的需求。

CNA规则2.0的讨论变化的影响,其他增量变化将如何影响CNA操作

这个开放的讨论将涉及影响CNAs CNA的变化规则,并将包括讨论规则,产生最大的影响在操作区域。我们正在讨论年度规则变化的可能性从一个模型到模型的变化需要,我们想了解CNA变化过程的影响。

小组讨论——加快CVE数据交换:自动化和Git飞行员

这次会议将涵盖CVE自动化工作小组努力加快交易所CVE漏洞信息从供应商和研究人员的名单。主题将包括使用GitHub CVE提交,在数据收集、格式化和分布,并计划未来的改进。

所有权和多供应商时间漏洞

这次会议将涵盖以下几点:

人口快速的cf发行中央社。
什么时间应该等待另一个CNA之前接管cf的责任问题?
应该有一个可信集团区域(如一个漏洞协调工作小组)来处理这些问题?
协调跨产品和供应商应如何处理?
开源软件

过程分配CVE id和格式报告

脆弱性研究员拉里Cashdollar和孩子叫Nandakumaraiah瞻博网络将他们的工具和过程跟踪发现和分配cf。他们将涵盖研究和发现过程,组织数据,并创建一个咨询相关的JSON进入CVE数据库。
地板将打开所有参与者比较他们的工具和流程。

CNA新员工培训和管理

这次会议将讨论这个项目的过程中采用了带来新的CNAs进入程序,帮助他们成为功能齐全。将讨论CNA的培训和指导。CNAs欢迎来表达他们的意见如何工作,新员工培训计划如何改进,新的CNAs面临什么问题当他们达到的速度。
随着CVE计划继续拓展新领域,管理区域将会越来越重要。

规则更新CVE条目

CNA规则集中分配CVE id和CVE条目填充。他们大多是沉默更新一旦填充CVE条目。应该制订新规则

o 谁能更新条目,

o 他们可以更新,

o 和在什么条件下。

硬件应纳入CVE如何?

硬件是一个过于宽泛的术语,提出问题的作业过程。

o 任何可能被认为是硬件应该包括吗?举个例子,一个ID可以分配给一个缺陷在锁或安全吗?这个词可以被限制在一个合理的方式,如计算机硬件或数字硬件?

o 物理攻击应被视为一个漏洞,例如是脆弱如果我能把热红外探测器的毯子?

危机和幽灵——CVE应该如何处理这些类型的问题?

将服务纳入CVE有价值吗?

此会话被设计成一个开放的讨论CVE需要扩展到服务业。

开发一个注册的供应商和产品名称在JSON, CNA non-CNA联系人列表。

这个讨论始于CVE自动化工作组作为加速处理传入的cf的必要工具。一个可能的方法是首先必须,然后分支non-CNAs。

发展中哪一年使用的官方政策CVE ID。

CNA规则不包括哪一年分配时使用CVE ID。这导致了不一致的分配政策,都必须和下游消费者的混淆。当我们扩大CNA程序这个问题只会增加。我们应该开发一个单一的过程都必须遵守。

CNA峰会的未来

的峰会,讨论如何改进,成立工作小组,计划下一次峰会。

备份会话

车间——CVE和供应链关系:漏洞如何流到其他产品

这次会议将涵盖脆弱性鉴定和命名与供应链和产品和供应商之间的关系。
有不同类型的cf和不同社区的公司之间的关系;这些都是相互关联的供应链,也包括多个供应商。
供应商之间的协调是一个关键问题。CVE将提供指导供应链脆弱性鉴定和命名没有规定操作要求。