CVE董事会会议总结2018年2月- 7

CVE董事会会议2018年2月7日

董事会成员参加

安迪Balinsky(思科)

马克·考克斯(Red Hat)

威廉·考克斯(黑鸭子)

贝弗利雀(联想)

蒂姆Keanini(思科)

肯特Landfield (McAfee)

帕斯卡贝(出现/普渡大学)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

肯•威廉姆斯(CA)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

凯文·格林

乔祈神保佑

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 -庭讯:工作小组
战略规划——Kent Landfield

· 问题

· 行动

· 董事会的决定

自动化-乔治Theall

· 问题

· 行动

· 董事会的决定

庭讯- 2:45:CNA更新
DWF——Kurt Seifried

· 问题

· 行动

· 董事会的决定

一般——乔纳森·埃文斯尼克卡隆

· 问题

· 行动

· 董事会的决定

2:45 - 3:继续讨论CVE董事会成员,交替,继任计划——克里斯棺材

3 - 3:40分CVE CNA峰会状态——乔祈神保佑

3 - 50分:40分公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

· 之前的活动项目:主教法冠将添加莫尼耶帕斯卡CVE战略工作组邮件列表

• 状态:完成1/24/18
• 之前的活动项目:Kurt Seifried将Git飞行员JSON格式的文档处理
  • 状态:在进步;不具体讨论JSON

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

问题:肯特Landfield发送修正后的甲板,讨论了一些在过去的战略规划工作小组(SPWG)会议。戴夫Waltermire开始角色创建和SPWG一直在努力扩大角色和提供额外的细节。这是真正的最后两个会议的焦点。有很多参加最后一次会议,这是好的。我们发现一些人失踪,我们添加了一个术语幻灯片和一个自动化,将包含在甲板上的下一个版本。共识是,我们正朝着正确的方向前进。

行动:讨论用例CVE ID分配现在和将来在下次会议。

董事会决策:N /一个

自动化工作小组(乔治·Theall)

问题:CNA列表提议,讨论集中在CNAs的惟一标识符。共识达成了使用通用唯一标识符(文件名)。我们打算更新现有的CVE JSON文件,包括标识符。也有一些讨论如何表达的接触点。我们关心的是如何通过表单来回传递信息或emails-what它必须看起来像什么?讨论仍在继续。将有助于阐明什么不是必需的。

行动:没有一个

董事会决策:N /一个

CNA更新

DWF (Kurt Seifried)

状态:没有更新。结构化数据越多越好。

问题讨论:没有一个

行动:没有一个

斜方(CVE团队)

状态:我们做了Facebook和Hikvision CNAs。三星手机成为CNA最近与我们取得联系。

讨论:没有一个

行动:没有一个

继续讨论CVE董事会成员,交替和继任计划——克里斯棺材

讨论:

戴夫Waltermire:我们上次讨论的可能性能够提供说明,一个人站在另一个如果一个董事会成员必须离开一段时间。

肯特Landfield:许多其他董事会允许代理(谁会现有董事会成员)。

TK Keanini:如果我们只是讨论投票,我想代理工作良好。这是一个不同的问题如果我们谈论的是一些投票。

安迪Balinsky:有非常不同的问题如果你知道投票的问题是,可以通知代理代表你如何投票或投票如果你告诉某人代表你不管。

帕默:这可能是一个有争议的问题。我们还没有真正以前需要一个代理,是吗?

肯特:有次我们有亲密的选票,所以可能会有一个时间,需要一个代理。目前有22个董事会成员。

克里斯·C:最后一票我们是我见过的最好的关于如何快速选票投选票的数量。

戴夫:如果你知道你要走了,有一个即将到来的投票,我们可以通过pre-voting处理。需要一个代理仅当它是一个意外的休假。

TK:另外,代理将是您值得信赖的关联,并最有可能无法和你取得联系之前投票。

行动(斜)关于代理投票的话添加到董事会的章程和发送评论和投票。

CVE CNA峰会计划——乔祈神保佑

状态:

• 准备在最后阶段;使用安全服务、A / V和会议后勤人员。
• 该项目将不提供食物;主教法冠咖啡馆接近会议地点。
• 39面对面与会者,包括主教法冠,CVE董事会成员,和CNA代表从以下:

IBM

思科(塔洛斯)

Akami

规范有限公司(Ubuntu)

联想

迈克菲

Zero Day Initiative (Trend Micro)

苹果

趋势科技

英特尔

博科通讯

SAP SE

Synology公司。

瞻博网络

甲骨文

KrCERT / CC

亚马逊

Hikvision

戴尔

讨论:

非美国公民不允许给会议带来个人电子设备。

戴夫W:我们需要更早和更深入地思考一个更合适的场地,我们不需要处理这些安全问题。

乔·祈神保佑:我们完全同意,我们的总结会将涵盖未来事件的位置。

克里斯C:我整理一些基本的幻灯片。我们在讨论一些输入,但是我们想让每一个讨论的讨论和演示。如果有人对任何你想添加的想法,请让我知道。

戴夫W:我们可以拥有这个国家网络安全中心卓越下次(NCCoE)。

行动:克里斯·C发送的幻灯片进行审查和评论。

公开讨论

肯特李:也许我们可以有一个SPWG面对面会议谈论的角色。也许我们可以做这周三(峰会之后)对于任何想要停留一个更深层次的对话。

戴夫W:是的,做一些白板可能是一个快速的方法来捕获的一些流程和如何工作/如何工作有不同的角色分工。将有助于克里斯·C和乔纳森。

克里斯:同意;这样做可以更好的周二晚上。乔纳森指出我们有房间整整两天,我们没有一天安排在周三,我们也许可以做这周三下午。

马克•考克斯:我们将提交所有未来在JSON。这是一个第一个测试,真的。如果它工作,那么下一步就是通过Apache。

肯特李:上次SPWG会议中讨论的,我们一直用块分配id,但是他们需要大量的资源,横切跟踪(每年40小时)。现实情况是,适当的服务环境,我们可以这样做更加自动化。通过信任机制,允许CNAs检索CVE id的数量他们需要在他们需要的时候。的副产品被集中,这既是一个积极的和消极的。问题是,我们需要考虑人类的过程中,他们不需要在这个过程中(自动化)。我们可以把真正的工作,需要人类在正确的地方。

库:如果我们做自动化,是只有根CNAs吗?必须做出这样的决定。

克里斯:我们已经讨论过联邦和你作为根得到一块,你重新分配,但如果我们去自动化和IDs可以得到需求,首先它甚至会去根,或者有人能去他们所需要的服务和请求id作为他们吗?

库:我们可以做一个混合模型吗?

戴夫W:这样的回报是当我们开始实现一个更健壮的报告系统作为ID分配和业务流程的一部分。从技术上讲,你应该收集统计信息你必须在做什么和提供支持,这是一个额外的工作负载,你目前。

肯特:我们可以多讨论这个SPWG面对面在峰会之后。

行动项目的总结

• 主教法冠字宪章草案代理投票支持
• 克里斯将为峰会发出草案的幻灯片
• SPWG讨论用例CVE ID分配现在和将来
• 让峰会与会者知道我们将有SPWG面对面会议之后,峰会周三下午

重大决策:

没有一个

附件:CVE董事会会议2月7日2018.多克斯
描述:CVE董事会会议2月7日2018.多克斯