[日期上一页][下一个日期][线程上一页][线程下][日期索引][线程索引]

CVE董事会会议总结,2018年1月24日

CVE董事会会议2018年1月24日

董事会成员参加

安迪Balinsky(思科)

肯特Landfield (McAfee)

斯科特·摩尔(IBM)

帕默(普渡)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

乔纳森埃文斯

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

  • 以前的行动项目:斜方接触必须通过CNA列表来获得关于峰会主题思想
    • 状态:完成。
  • 以前的行动项目:斜方会发出电流峰会主题更具描述性的内容列表
    • 状态:完成。
  • 以前的行动项目:戴夫Waltermire将放在一起的幻灯片直接CNA反馈(CNA峰会主题)
    • 状态:戴夫正在几个幻灯片。
  • 以前的行动项目:下董事会会议上,我们将继续讨论代理/备份董事会成员
    • 行动:在今天的议程
  • 以前的行动项目:斜方发送一个新的会议邀请战略规划工作组(美国东部时间周一下午4点)
    • 状态:完成。
  • 以前的行动项目:接触AWS和云安全联盟,看看我们可以参加亚太峰会
    • 状态:维克多的下巴(云安全联盟)远程将出席;亚马逊将有一个代表参加

2 -庭讯:工作小组
战略规划——Kent Landfield

  • 问题
    • 需要通过每个角色和驱逐的实际职责角色说。
  • 行动
    • 关注的角色CVE程序。
    • 在规则涉及的问题:
      • CVE导师
      • CNA的最后
    • 计划文件的更多信息,为下次会议角色和责任来帮助扩大和进一步行动的进展。
  • 董事会的决定
    • 没有一个

自动化-乔治Theall

  • 笔记
    • 花时间在库尔特的建议来处理被禁运的id。想法是加密信息并将其存储在JSON文件保留ids cvelist回购在git禁运,然后解密信息和更新当脆弱性成为公共的JSON文件。
    • 谈到一个框架,用于存储信息的并行存储库中的JSON文件中的每个CNA (cnalist)。始终可以使用该文件来管理信息本身和它的操作,如陈述它的范围,接触点,Github账户等,他们可以控制横切是否包括在那块作业已收到。反过来,这些信息可用于支持自动化和共享。
  • 问题
    • 可以CNA包括属性在JSON文件当前规范没有提到呢?理论上,任何解析信息应该撤出他们感兴趣的属性而忽略任何其他文件。
    • 如何安全的这些数据可以吗?
      • 建议,假设它不会完全安全,但该组织应该采取预防措施,防止恶意攻击。
    • 没有明确的文档是不允许什么是允许与JSON数据本身。
  • 行动
    • 库尔特将他的建议被禁止处理id董事会批准后开始实施。
    • 谈到库尔特的提议将为进一步讨论搬到AWG。
    • cnalist草案的工作组将继续发展并将其发送到董事会当准备好了。
  • 董事会的决定
    • 董事会认为,需要更多的文档和讨论关于摄取和创建JSON数据。

庭讯- 2:45:CNA更新
DWF——Kurt Seifried

  • 问题
  • 行动
    • 库尔特是使用结构化模板请求id。他与董事会将共享模板,把他的过程更加容易。
    • 库尔特继续追赶在日志中。
  • 董事会的决定
    • 没有一个

一般——乔纳森·埃文斯尼克卡隆

  • 问题
    • CNA联系要求需要清楚什么是需要成为一个中央社,具体是否每个CNA需要有一个公共电子邮件联络点)。
    • 斜方需要适应训练的例子,包括跨不同行业的其他例子。
  • 行动
    • 训练Hikvision和Facebook。与一些内务和行政流程成为官方CNAs之前解决。
  • 董事会的决定
    • 没有一个

2:45 - 3:CNA报告卡情况介绍和讨论——克里斯棺材

  • 季度报告的评论:
    • 增加由于过程或自动化的进程是什么变化?
    • 我们可以确定CVE条目的增加是由于增加的请求吗?
      • 可以保留数量CVE IDs帮助吗?
      • 许多独特的斜方CNA请求者可以帮助吗?
      • 其他人呢?
    • 需要确保我们捕获的数据能回答未来我们想问的问题。
    • 董事会要求的一些不同的表示当前季度报告图表更好的理解。
      • 需要一个图表来保留所有年CVE id
      • 速度从公共填充在过去的4 - 5年
      • 建立了CNAs慢CNAs填充(无视新CNAs)
      • 取代“10慢CNAs填充CVE季度之前的条目”与净变化图表。如果CNA发送细节在24小时内30天内但突然慢了下来我们要代表在这里。也会很高兴见到逆理解谁是越来越好。
    • 董事会要求的完整列表为每个CNA一直做的事情。董事会希望看到一个单独的电子表格,包括所有CNAs并从公众填充他们的时间。我们可能想要扩展到其他CNA-specific图表。

3 - 45:继续讨论CVE董事会成员,交替,继任计划——克里斯棺材

  • 这一主题将移动到下一个董事会会议议程。

45 - 55分钟:CVE CNA峰会更新——乔祈神保佑

  • 以下将继续在董事会讨论邮件列表:
    • 议程的话题
    • 物流

55 - 4点:行动项目,总结——克里斯棺材

  • 添加帕斯卡SPWG邮件列表
  • 库尔特开始git飞行员JSON格式的文档处理。

重大决策:

没有一个

附件:CVE董事会会议1月24日2018.多克斯
描述:CVE董事会会议1月24日2018.多克斯

页面最后更新或审查:2018年2月1日