(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

CVE董事会会议总结2018年3月- 7

来:cve-editorial-board-list <cve-editorial-board-list@lists.mitre.org>
主题2018年3月:CVE董事会会议总结- 7
从:“棺材,克里斯" <ccoffin@mitre.org>
日期:星期四,2018年3月22日14:56:45 + 0000
接收语言:en - us
Authentication-results:防晒系数=没有(发送者的IP 192.52.194.235) smtp.mailfrom = LISTS.MITRE.ORG;imc.mitre.org;dkim = none(消息没有签署)header.d =没有;imc.mitre.org;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2018年3月22日11:04:15星期四
名单有用:<mailto: LISTSERV@LISTS.MITRE.ORG ?身体= % 20 cve-editorial-board-list信息>
List-owner:<mailto: CVE-EDITORIAL-BOARD-LIST-request@LISTS.MITRE.ORG>
List-subscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-subscribe-request@LISTS.MITRE.ORG>
List-unsubscribe:<mailto: CVE-EDITORIAL-BOARD-LIST-unsubscribe-request@LISTS.MITRE.ORG>
发送方:<owner-cve-editorial-board-list@lists.mitre.org>
Spamdiagnosticmetadata:5952 c28dcc454f0789fb433d26f936ef
Spamdiagnosticoutput:1:2
Thread-index:AdPB7VmoANl7 + bQaQwmUPbn + j5Rzrg = =
Thread-topic2018年3月:CVE董事会会议总结- 7

CVE董事会会议2018年3月7日

董事会成员参加

安迪Balinsky(思科)

威廉·考克斯(黑鸭子软件)

肯特Landfield (McAfee)

斯科特·劳勒(LP3)

帕默(出现/普渡大学)

斯科特·摩尔(IBM)

Kurt Seifried (Red Hat / DWF)

塔基•中山教授(JPCERT / CC)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

凯文·格林

乔祈神保佑

安东尼单例

乔治Theall

议程

下午2 - 2:介绍,从上次会议行动项目——克里斯棺材

2 - 2:工作小组

战略规划——Kent Landfield
自动化-乔治Theall

2:15 - 2:CNA更新

DWF——Kurt Seifried
JPCERT——塔基•中山教授
斜方——乔纳森埃文斯

2:30 - 3:30:自动化工作小组

3 - 45:下一个步骤CNA协调工作小组

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

之前的活动项目:肯特Landfield让未成年人除了董事会特许代理投票的语言和转发
- 状态:在进行中
以前的行动项目与NIST:斜方设置会议,讨论JSON数据格式
- 状态:完成;2/28会议(NIST提出一些他们所关心的JSON;主要是信息只包括url。也担心白色空间差异,以及一些编码字符)
以前的行动项目:讨论自动化项目工作组,工作组的前进
- 状态:完成;自动化WG在今天的议程
以前的行动项目CNA:斜方设立一个谷歌小组合作
- 状态:完成;集团成立于3/5(你必须有一个谷歌账户参与)
以前的行动项目:肯特Landfield CNA写一个消息列表描述CNA协调工作小组
- 状态:还没有完成

议程项目

委员会工作小组

战略规划工作小组(Kent Landfield)

问题:有一个问题我们建立了CNAs的方式;我们需要更多的关注范围。部分问题范围过于广泛,允许CNAs做事以外的范围。我们需要关注前期和扩大范围一旦证明CVE的好公民。有可能识别人员的请求。

一些时间分配给自动化工作小组的问题。

行动:N /一个

董事会决策:N /一个

自动化工作小组(乔治·Theall)

我们有一个建议关于如何支持使用GitPilot NIST NVD进口日期。我们有一组简单的要求测试(参考源和名称),使用别名。乔治欠董事会修改建议,希望在下周将会发生。还谈到了CNA注册表。(包括一些成员戴夫Waltermire)将更新发送给乔治,这样,他就可以得到一个草案一起发送给董事会的批准。

问题:N /一个

行动:N /一个

董事会决策:N /一个

CNA更新

DWF (Kurt Seifried)

状态:有一些请求Sajeeb•无效;这个人现在抱怨横切。库尔特将送他指导幻灯片。讨论了;根CNA (DWF)需要制定自己的政策,如何处理妨害CVE请求。

把请求中的语法问题。需要给人提交有问题拉请求期限清理请求(或请求将被拒绝)。一些建议给他们两周正确的请求。戴夫Waltermire建议也许3周相反;所有电话同意。以后可能需要接这个讨论讨论工作流。

问题讨论:没有一个

行动:N /一个

JPCERT (塔基•中山教授)

状态:我们有一个供应商询问成为中央社。我们给他一些信息关于如何成为CNA但尚未跟进。

斜方(CVE团队)

状态:Sajeeb•要求成为CNA;我无意让他CNA,但我会跟进他,与他讨论过程。Hillstone(中国公司)要求成为CNA但他们的英语口语不够好,我们可以通过电话沟通。这将使培训困难,如果不是不可能的话。

巫医想要的CNA VoIP产品。克里斯棺材说,我们可能需要在供应商之前自己的范围,然后看看他们做扩大覆盖率。

库尔特建议我们包括语言CNA库的一部分。

讨论:N /一个

行动:没有一个

自动化工作小组

讨论:的问题之一自动化WG现在是太战术了。我们没有得到任何记录需求。我们需要看这四个项目确定如何并行处理它们。

共享ID分配服务需求项目
CNA注册表项目功能需求
CNA授权自动提交项目
JSON数据交换格式要求的项目

我们应该考虑向下转型的路径调整自动化WG宜早不宜迟,这样我们可以要求写在纸上。

我们需要想出一个不同的操作方式为了更有效和完成更多的工作。我们一直在解决一个技术主题,也许两个,我们经常使用小时,最终做一个或两个小决定。当前操作将不允许我们带宽的方法来解决当前的项目我们已经在我们面前。我们需要更多的战略思考如何组织和提供更多的领导。

我们应该关注形成项目团队,然后让项目团队自组织在他们需要什么资源有效和他们需要满足。有人应该确认为整体自动化WG的领袖。库尔特·肯特推荐Landfield;肯特说戴夫Waltermire有人记住了这个角色(NIST)克里斯·约翰逊。他有项目管理经验,将致力于这一角色。戴夫计划提名董事会成员克里斯·约翰逊。

行动:自动化工作组将讨论下次会议的项目和新结构。克里斯克里斯·约翰逊棺材将设立一个会晤Dave Waltermire和克里斯•乔治•Theall棺材来讨论。

下一个步骤CNA协调工作小组

讨论:我们向肯特Landfield测试邀请,他指出,你必须有一个谷歌帐号参与。

肯特提到开放CNA社区周围有三个问题:

创建CNA协作工作组;
创建CNA联络委员会代表(他们应该CNA协作工作组的主席?);
一年有两个在线事件结合年度CNA峰会(只听到一个来自汤姆米勒的阻力。后者认为可能有一个在线事件开始和添加另一个后来如果我们能)。

行动:N /

公开讨论

年代ummary的行动项目

战略规划工作组讨论升级规则高于根部
额外的思考需要进入工作流拒绝老拉请求,后面的讨论议程
斜方21天后就会开始拒绝无效的请求
讨论语言格式CVE条目(CVE条目应该需要使用英语?),后面的讨论议程
自动化工作组讨论新项目组织和启动这一进程
与NIST建立一个会议,讨论自动化WG的角色和责任

重大决策:

没有一个

附件:CVE董事会会议在3月7日2018.多克斯
描述:CVE董事会会议在3月7日2018.多克斯