CVE董事会会议总结,2018年2月21日

CVE董事会会议2018年2月21日

董事会成员参加

马克·考克斯(Red Hat)

贝弗利雀(联想)

肯特Landfield (McAfee)

帕斯卡贝(出现/普渡大学)

斯科特·摩尔(IBM)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

尼克·卡洛

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

凯文·格林

乔祈神保佑

安东尼单例

乔治Theall

亚历克斯花呢

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 - 2:工作小组
战略规划——Kent Landfield

自动化-乔治Theall

2:15 - 2:CNA更新
DWF——Kurt Seifried

2 - 3:40分讨论2^ndCVE CNA峰会

3 - 50分:40分公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

• 以前的行动项目:主教法冠将分发峰会草案的幻灯片
  • 状态:完成了。
• 以前的行动项目:斜方为CVE董事会章程起草附加的文本支持代理投票。
  • 状态:TBD
  • 讨论:时间表(3个月或更少)应指定(宪章)内指定代理吗?肯特Landfield通过案件的基础上认为我们可以工作但是很好分配时间;需要灵活。贝弗利雀问我们指定的短期内,不到6个月?帕斯卡默没有强烈的意见,但想知道董事会成员将会缺席几个月,他们真的会有上下文投票吗?肯特Landfield说代理的目的。库尔特Seifried表示,为组织一票,就像Red Hat (Kurt /标志),他们可以在内部管理情况,除非所有成员都将缺席。普遍认为合同是离开语言的更灵活(没有既定时间表)。肯特Landfield将添加一个声明两个合同澄清组织将如何处理代理场景如果所有成员要缺席并将其发送回董事会审议。
• 之前的活动项目:战略规划工作小组讨论用例CVE ID分配目前和未来
  • 状态周一:没有SPWG会议

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

问题:没有SPWG会议所以没有更新。

行动:N /一个

董事会决策:N /一个

自动化工作小组(乔治·Theall)

问题:讨论了几个用例CNA注册表文件,我们已经讨论过了。有共识为识别使用UUID CNAs CNA注册表和cvelist回购。此外,共识CNA注册中心的使用JSON在自动把请求的处理。

戴夫Waltermire:我们的工程师正在实现从JSON提要和进口我们遇到了一些问题。一般的JSON模式不验证,因为它没有状态字段。有各个国家的人,你可能会有问题。也有问题,如何处理引用。源属性是更有用的XML格式的JSON模式。还有多余的空格,需要从描述中删除。我认为我们可以处理它,但有近10000的描述,需要白色的空间变化。我们发现大约900个超链接,没有适当的编码;也许这就是我们应该验证。

乔治:我们能支持的模式,因为它目前?库尔特:是的。乔治:好吧,这只是一个横切添加它。我们应该能够很容易地做这件事。我想谈谈模式验证问题,但也许我们可以谈谈,(在一个单独的调用)。戴夫会有他的一些工程师叫乔治讨论。

行动:斜方设置NIST /斜方之间召开会议,讨论验证问题。

董事会决策:N /一个

CNA更新

JPCERT (塔基•中山教授)

状态:仍然在等待一些供应商想成为必须,但是他们还没有在技术上必须。没有进一步的更新。库尔特:你将会发布一系列你盖什么?塔基•:我还没有真的想过。

Chris棺材:这就是CNA注册中心将派上用场。在峰会上,我们有一个中央社(Trend Micro)讨论给我们发送他们的cf在日本,可能会使用。

肯特:我们可能需要一个专门的呼吁翻译的话题,谈论分布的方法以及如何协调与CNAs。

DWF (Kurt Seifried)

状态:在培养的过程中几个sub-CNAs。我们需要CNA注册表设置宜早不宜迟。80 -一些必须的,一半以上有很多开源的存在。库尔特要求斜方送他的官方链接CVE作业培训材料。

问题讨论:没有一个

行动:N /一个

斜方(CVE团队)

状态:我们跟Synack,三星手机,和其所有想成为必须。明天我们将与巫医(VoIP公司)和Cloudflare。据我所知,他们做的是服务,所以我们会看到他们感兴趣的分配id。没有新的区域。HPE清理积压的180 CVE id和华为正在做同样的事。

讨论:肯特Landfield:你说三星手机和三星公司;我们公司分解成组件或录制吗?乔纳森:我们已经这样做(Google Chrome)。三星公司还没有准备好成为一个中央社,但他们的移动组件。Chris棺材:我们可能需要一个过程合并子集船上来。它发生在更大的公司(IBM)。

乔纳森:关于三星手机,KrCERT想成为根CNA韩国和我告诉三星手机,如果他们这样做,我们可能想KrCERT下移动它们。

肯特:这是另一个领域我们需要更多的讨论。我们没有站立的过程。我们需要穿过需求和文档。

库:可以sub-CNA选择根CNA下他们想成为哪一个?

肯特:我们需要找出根结构之前,首先我们可以回答这个问题。

库:我建议我们与地理因为它看起来简单的关于语言和时区。

行动:没有一个

讨论2^ndCVE CNA峰会

讨论:

• 总体印象和外卖
  • 克里斯:23 CNAs表示,我们的确有一个潜在CNA那里。和董事会覆盖很好因为我们有9董事会成员。不错的投票率。我认为我们应该做峰会每年,但我们也可以进行更频繁的电信会议每隔几个月。戴夫Waltermire:很明显,不少必须在房间里非常惊讶的范围和大小的变化。他们需要保持同步的走在路上,可能会影响他们。克里斯:必须要更多地参与即将到来的变化。戴夫W:我认为我们需要更好的沟通策略与CNAs。我们需要考虑如何更好地利用CNA列表,如何为他们提供更好的资源,如何总结的一些事情可能会影响他们,等。克里斯棺材:总之,我们需要考虑多个长途电话+年度峰会。可能有一个中央社联络列席董事会会议,等等。
  • 肯特:有人每年与多个长途电话有问题吗?贝弗莉:我认为这是一个好主意。戴夫W:我们需要确保我们有一个很好的董事会出现在这些调用。库尔特:也许我们可以有一个预处理和后峰会。
  • 肯特:这是一个很好的活动,但很明显,我们还没有通知必须做得不错。
  • 也许我们应该re-name CNA峰会只是CVE峰会将多个利益相关者
  • 戴夫W:可以将一些代码冲刺到下一次峰会(例如,IETF)
• 项目对董事会的考虑
  • 每年两个长途电话和一个面对面的会议
    • 肯特:是的,每四个月一次
    • 戴夫:我们为什么不安排第一个并使其议程的一部分,讨论会议的频率。我认为我们可以得到一些输入,以此为契机必须设定自己的期望。
    • 所有人都同意
    • 克里斯:我们应该等待四个月举行telecon吗?
    • 肯特:我们刚刚峰会,所以它可以等待几个月。我们需要能够展示一些进展。我宁愿让必须知道我们将举行一个telecon和让他们知道日期待定。我把重点放在建立协作工作组。
  • CNA联络委员会代表
    • 讨论:他们可以帮助峰会议程;这将提供一个反馈和参与机制。
    • 戴夫W:由CNA社区使用一些as-yet-to-be-defined选举过程
    • 贝弗利:也许我们(董事会)可以开始在所有必须提名过程
    • 调用的共识,这是一个好主意
  • 中央社合作工作小组
    • 讨论:将集中在试图要求,必须需要的,在峰会等。
    • 共识是,这是一个好主意,应该优先考虑
    • 克里斯:我们想要继续这个工作小组分配一个董事会主席?肯特:他们想要一个董事会成员在WG吗?我认为我们需要发送一条消息列表的要求参与工作组。让参与者CNA提名他们想要他们的椅子上。贝弗莉:如果新的CNA联络委员会代表呢?戴夫W:我认为这是明智的。克里斯:我们框架的联络和椅子上应该是一样的吗?这可能是一个大量的工作。贝弗莉:我认为这可能是一个好主意如果有人从斜接临时椅子让它开始然后转移职责任命委员会联络众议员克里斯:下一步是号召参与起草一封电子邮件。肯特:我们需要起草一份意向书在几个不同的领域(让他们知道我们在做什么来改善他们的世界)。
  • 季度报告(CNAs)董事会的新闻报道万博下载包
    • 肯特:我看不出这一起一个重大的努力
    • 克里斯·C:我们可以使用这个长途电话;我们可以在GitHub包括
  • 必须站起来一个资源页面
    • 克里斯:下周初应该发生
  • 建立特殊项目工作小组:
    • 戴夫:思想是两个单独的团队;一个需求,另一个用于实现
    • 共享ID分配服务需求项目
      • 肯特:工作组changes-try减少努力,每个人都要做。我们建立一个需求团队(短期项目在WG)来描述我们想做什么。可能会有一个需求项目团队和项目团队实现。
    • CNA注册表项目功能需求
      • 肯特:将设置的信任方面的基础如何处理其他一些部件。这将是一个注册必须在那里他们可以来找他们需要的各种信息系统的关于自动化方面。有很多我们需要的信息和CNAs我们不想张扬,但我们不想把一个人类,人类不需要。注册中心可以利用在不同的项目。
      • 贝弗莉:当这被踢了?
      • 肯特:它已经开始。
      • 戴夫:这个项目会通知其他项目的核心我们试图做什么。
    • CNA授权自动提交项目
      • 肯特:我们将很快进入状况,有人是一个sub-root CNA脚下,他们有责任但项目,我们有24小时的反应让信息水平以上。为什么我们需要经历一个层次结构,当发布信息可以直接进入中央社吗?自动化将检查注册表来验证。
    • JSON格式项目,加强和规范格式添加项目,如翻译
      • 肯特:如何提高JSON-could被更新的区域为例。
  • 社区工具
    • 他们愿意捐献一些CNAs工具(例如,CVRF JSON翻译工具)
    • 我们需要某种形式的存储库来存储这些工具
    • 乔祈神保佑:我们看这个,希望尽快得到它
    • 戴夫W:这倒提醒了我,我们谈论在尝试一些公共工具,可用来管理CVE社区(谷歌组)。乔:我唯一关心的是有多少我们能够管理存储库和聊天组?
  • CVE奖
    • 肯特:我们想找出一种方法鼓励良好的行为,纠正不良行为。不管这听起来多么的愚蠢,这是实实在在的他们可以管理。这是一个占位符未来的对话。我们需要找出如何处理CNAs那些不遵守规则,我们需要纠正不良行为私下里,这样他们就可以回到正轨。我们希望播种在未来我们可以谈话。
    • 戴夫W:也许我们可以留出一些时间在未来委员会呼吁进一步探讨这个话题。

行动:

公开讨论

行动项目的总结

• 肯特,使未成年人除了特许代理投票语言和重发
• NIST /斜接来满足对JSON(乔治已经设置会议)
• 肯特:意图的信息协调小组
• 自动化工作小组应谈项目

重大决策:

没有一个

附件:CVE董事会会议2月21日2018.多克斯
描述:CVE董事会会议2月21日2018.多克斯