CVE董事会会议摘要 - 2018年3月21日

CVE董事会Meeting 21 March 2018

出席董事会成员

安迪·巴林斯基（思科）

William Cox (Black Duck Software)

Beverly Finch (Lenovo)

Chris Johnson (NIST)

肯特·兰德菲尔德（McAfee）

斯科特·摩尔（IBM）

Taki Uchiyama（JPCERT/CC）

成员of MITRE CVE Team in Attendance

Chris Coffin

克里斯汀的交易

乔纳森·埃文斯（Jonathan Evans）

乔·塞恩

George Theall

议程

2:00 - 2:10：上次会议的介绍，行动项目- 克里斯·科芬（Chris Coffin）

2:10 – 2:30:Working Groups

• Strategic Planning – Kent Landfield
• Automation – Chris Johnson, Chris Coffin

2:30 - 2:50：CNA更新

• DWF – Kurt Seifried
• JPCERT - Taki Uchiyama
• MITER - 乔纳森·埃文斯（Jonathan Evans），尼克·卡伦（Nick Caron）

2：50 - 3:20：大阪的第一个技术座谈会读数– Jonathan Evans, Kent Landfield, Art Manion, Dave Waltermire

3:20 - 3:50：公开讨论

3:50 – 4:00:动作项目，总结- 克里斯·科芬（Chris Coffin）

上次会议的行动项目的审查

• 先前的动作项目:Miter将与NIST开会，讨论自动化工作组的角色和职责。
  • Status:完毕。
• 先前的动作项目: MITRE will begin rejecting invalid pull requests after 21 days
  • Status：在正轨。
• 先前的动作项目：自动化WG讨论新项目组并启动该过程。
  • Status：过程已经开始。
• 先前的动作项目：战略规划WG讨论根基上方的升级规则
  • Status：tbd
• 先前的动作项目：计划有关CVE入学语言要求的董事会讨论（需要英语？）。
  • Status: We can discuss today if members wish.
• 先前的动作项目：计划有关拒绝旧拉请求的工作流程的董事会讨论
  • Status: We can discuss today if members wish.
• 先前的动作项目:Updated Board charter with verbiage related to proxy voting
  • Status:更新的宪章将在今天或明天发送

议程Items

董事会工作组

战略规划工作组（肯特·兰德菲尔德）

问题: Gave a readout of some of the things that occurred in Osaka. Also discussed how to deal with vendors who want more than they have proven they can handle. Consensus of WG is to get those who want to expand their scope to first prove they can deal with their own scope before allowing them to expand their scope.

行动：MITER需要在范围上写一些内容，以添加到指导或培训材料中。

BOARD DECISIONS:没有任何。

自动化工作组（克里斯·约翰逊 /克里斯·科芬）

问题:Gave a brief overview of the draft charter that Chris Johnson put together. Sent out a note to the list to encourage people to review the draft charter (located on GitHub). Talked about projects we envision kicking off, particularly the CNA registry and JSON format projects. Orienting folks on what we are about to do. In follow up discussion, we talked about getting draft charters put together and GitHub repositories for each project. We also spent time talking about the agenda for the upcoming WG meeting and discussed roles/responsibilities. Discussed format of WG calls (roll call, actions, updates, etc.). Collaboration will be needed between/among projects.

行动：Working on draft charter, send invitation to folks on Automation WG list for first two projects (CNA registry and JSON format).

BOARD DECISIONS:没有任何。

CNA更新s

DWF（Kurt Seifried）

地位：没有任何。

问题/讨论：没有任何。

行动：没有任何。

JPCERT (Taki Uchiyama)

地位：本周没有更新。

问题/讨论：没有任何。

行动：没有任何。

MITRE (CVE Team)

地位：Avaya and GitLab have both requested to become CNAs. We are going to start training SonicWall on Friday.

问题/讨论：没有任何。

行动：没有任何。

大阪的第一个技术座谈会读数– (Jonathan Evans, Kent Landfield, Art Manion, Dave Waltermire)

讨论：Jonathan: Conference was about global vulnerability reporting. We had 7 topics we considered discussing—two topics of great interest were 1) software component identification and 2) vulnerability description format (more pertinent to CVE than software component ID). There was a lot of good discussion on what models there are, what models we need. It is clear that we don’t understand all the use cases we might have for a vulnerability description format. I think the group generally considered using the VDO (NISTIR 8138) vulnerability description ontology as a vehicle to come up with something that would be unifying (but needs more work). The VDO is missing attack vectors and software components. NIST is preparing to start reviewing that and we will provide feedback on what changes should be made.

克里斯：可以适用于CVE的什么？

Kent: No. That wasn’t the intent of this effort. We did start off with voting on different topics we would like to discuss. We then were looking at what was needed by the community the most.在软件材料清单上进行了讨论，其中包括软件识别标签（SWID和软件包数据交换（SPDX）。该小组在SWID上定居，因为它是一个国际标准，其范围和覆盖范围都比SPDX。采取行动撰写有关使用SWID材料的软件构建的论文。本文将集成到谈论SWID使用情况的NIST IR中。国家电信和信息管理局（NTIA）也正在努力将软件材料清单放在一起项目，我们计划将SWID文件付诸实践。

我们将脆弱性格式与自动化相结合，但是我们谈论了它们，就像它们是分开的一样。其中的重点与脆弱性描述（VDO）有关。我们讨论了格式的扩散，其中一些格式如何（最初是出于权宜或特定应用程序开发），在通过VDO方面提供了价值。我们需要为VDO创建参考格式，该格式可以与Intel Communities，Stix等的威胁共享，以具有对所有人有益的参考格式。这可能导致VDO交换的点，尤其是在快速传播很重要的情况下。

我们谈到了需要更新VDO的需求；自2016年上一次CNA峰会以来，它一直没有进行更新。我们讨论了将信息删除在GitHub存储库中，包括评论，因此我们可以作为一个社区来研究VDO。NIST采取行动来设置此存储库。

我们还向我们展示了JPCERT的努力，以利用和概念化VDO。JPCERT在这方面付出了努力，他们在幻灯片上显示了一些真正有用的描述模型，并且有关于已经完成并正在工作的事情的注释。动作项目之一是塔基（Taki）将这些笔记从日语翻译成英文，并放入github。他们创建了VDO参考格式。他们的工作有可能以积极的方式影响脆弱性格局。

我们确实谈到了自动化，但是大部分自动化都集中在特定领域：漏洞发现，漏洞报告，脆弱性评估，脆弱性识别等。这些类型的自动化需求必须由用例驱动。我们需要记录自动化的用例，以便在继续前进的过程中推动要求。关于我们在哪里进行的讨论。我们第一次遇到的是创建漏洞报告和数据交换SIG（VRDX-SIG）。我们可能会使用VRDX-SIG进行未来的工作。将每两年再次进行一次（会议） - Location将有所不同（并非总是在日本）。

TAKI：JPCERT正在尝试自动化其一些协调活动，以便他们可以使用VDO在系统中存储信息，以便我们可以更好地自动化向供应商发送漏洞信息，发行CVSS分数等。我们试图这样做，我们分析了VDO - 作为动作项目，我们将发送一些需要在VDO中澄清的事情的评论，我有一些我可以分享的幻灯片（需要分享）以向您展示更好我们在jpcert尝试做什么。

行动： 没有任何。

公开讨论

乔：2月19日，XKCD卡通出现了，列出了“ 2018年主要安全漏洞泄漏列表”（https://xkcd.com/1957/）。卡通中的最后一行是“ Miter的CVE数据库中的缺陷允许任意代码插入”。第二天，我们发现了一个开放的漏洞赏金漏洞通知（https://www.openbugbounty.org/reports/563906/），确定了跨站点脚本问题。MITER的信息安全与研究人员联系以获取更多信息，这些信息表明，由于HTML被封装，这并不是真正的漏洞。此外，这个问题仅在较旧的浏览器中表现出来。我们确实修补了研​​究人员试图滥用的代码。即使研究人员撤回了问题，该漏洞被标记为“固定”，因为它不是漏洞。该发现的公开披露定于2018年3月22日发布。

讨论拒绝旧拉的请求：如果他们在那里呆了21天，我们讨论了拒绝它们。我们目前没有21天的出色表现。如果这变得更加问题，我们可以谈论自动化流程。

Kent: In the previous agenda, there are two action items for me—can you please pull those forward so that I can be held accountable?

Summary of Action Items

• 肯特·兰德菲尔德（Kent Landfield）将少量地加入董事会宪章代理投票语言并重新归还董事会
• 肯特·兰德菲尔德（Kent Landfield）为CNA列表写一条消息，描述了CNA协调工作组
• 我们需要更多地考虑定义CVE语言要求草案草案的任务（即CVE是否需要英语描述？）。我们应该制定一项轻巧的建议，以开始讨论。

重大决定：

没有任何。

Attachment:cve_board_meeting_summary_21_march_2018_.pdf
Description:cve_board_meeting_summary_21_march_2018_.pdf