CVE董事会会议摘要 - 2018年4月4日

CVE董事会Meeting 4 April 2018

出席董事会成员

• 贝弗利·芬奇（Beverly Finch），联想
• Chris Johnson, NIST
• Kent Landfield, McAfee
• 斯科特·劳勒（Scott Lawler），LP3
• 斯科特·摩尔（Scott Moore），IBM
• 库尔特·塞弗里德（Kurt Seifried），红色帽子
• Dave Waltermire，NIST

成员of MITRE CVE Team in Attendance

• 尼古拉斯·卡隆（Nicholas Caron）
• Jonathan Evans
• 乔·塞恩
• George Theall

议程

2:00 - 2:10：上次会议的介绍，行动项目- 乔·塞恩（Joe Sain）

• 先前的动作项目:Kent Landfield to make minor modifications to the Board Charter regarding proxy voting language and CNA Representative’s position.
  • Status:Done; sent to the Board list 4/2.
• 先前的动作项目: Kent Landfield to write a message for the CNA list that describes the CNA Working Group.
  • Status：推迟到董事会宪章修改。
• 先前的动作项目：我们需要更多地考虑定义针对CVE语言要求草案草案的任务（即CVE是否需要英语描述？）。我们应该制定一项轻巧的建议，以开始讨论。
  • Status：tbd。

2:10 – 2:30:Working Groups

• Strategic Planning – Kent Landfield
• Automation – Chris Johnson, Dave Waltermire, George Theall

2:30 - 2:50：CNA更新

• DWF – Kurt Seifried
• MITER - 乔纳森·埃文斯（Jonathan Evans），尼克·卡伦（Nick Caron）

2：50 - 3:00：CVE GitHub着陆页和工作组存储库- 乔·塞恩（Joe Sain）

• http://cveproject.github.io/docs/
• https://github.com/cveproject/cna-registry-project-awg,
• https://github.com/CVEProject/JSON-format-project-AWG

3：00-3：30：CVE工作组：如何允许非董事会成员或非CNA参加？- Dave Waltermire

3:30 – 3:50:公开讨论

3:50 – 4:00:动作项目，总结- 乔·塞恩（Joe Sain）

议程Items

董事会工作组

战略规划工作组（肯特·兰德菲尔德）

ISSUES:讨论有关角色和责任的持续讨论，关于自动化管理需求的更多讨论，使角色功能功能的需要做出的问题以及整个角色重新设计。欧盟（EU）一般数据保护法规（GDPR）将于2018年5月25日生效，需要以某种方式考虑到应采取哪些方向的分歧（暂时忽略，还是说明它？选择加入是否足够，还是选择退出也有必要[MITER律师的意见是后者]。）。是否应该直接拒绝所有包含一个人名称的产品？停止和终止可能会对该计划产生负面影响。

行动：

• Dave Waltermire: Action item ongoing for automation workflow process.
• 克里斯·莱文迪斯（Chris Levendis）：主DB查询，下载，ID分配和输入提交业务规则的行动项目。

这些应在接下来的两周内完成，RSA允许。

GDPR的对话正在进行。

BOARD DECISIONS:
没有任何

自动化工作组（克里斯·约翰逊（Chris Johnson）/戴夫·沃尔赛（Dave Waltermire）/乔治·蒂尔（George Theall））

ISSUES:

Went over outstanding issues for working group charter. Spent some time discussing using GitHub as a collaboration tool. Joe Sain presented the current flat structure for the github io pages for documentation/working group and project repos. Spent some time talking about workflow, issue management, possibly using project board in Github to give better views over issues.

在通话中讨论的是，潜在的需要努力培养将GIT用于CVE的文化，文档是一个良好的开始。另外，是否应该弃用CVE WebForm（长期以来）？

行动：

• 乔·塞恩: timeline for defining a common directory structure for storing project artifacts within workgroups.
• 乔·塞恩: List of repos on GitHub, including working groups and AWG projects, (current WIP)
• Kurt Seifried：创建用于使用Git和GitHub提交的工作流文档（本周或下一个董事会呼叫之前）。

BOARD DECISIONS:没有任何

CNA更新s

DWF（Kurt Seifried）

地位：using automatically built descriptions to great success for improving workflow.

问题/讨论：可能值得构建一个更一般的描述生成工具，以避免有关描述的各种问题。

行动：没有任何

MITRE (CVE Team)

地位：CVE即将将Sonicwall作为CNA，并计划在周五举行。在下周左右的时间内，对Avaya，Palo Alto Networks和台湾证书的培训。

问题/讨论：接近100^thCNA！值得庆祝/概述CNA计划的最新成就是值得的^thCNA。

MITRE has been getting a CNA request per week, requiring all CNAs to get trained up, (4-5 hours per), which has been time consuming. Considering creating regular sessions, 1 per every-other week, which anyone (potential CNA or current) can sign up for, with a test for candidates to determine understanding of material.

行动：

• MITRE: Generate training test documentation. Kent Landfield is willing to review it, and Dave Waltermire is willing to sit in on a session for review.
• MITRE: Once above is done, will be providing CNA training for all interested parties, (both pre-CNA and current CNAs), once every other week.

• MITRE CVE PR: Draft up the press release to coincide with the 100^thCNA, gather quotes from various community members on successes of program to that end.

议程Items

CVE GitHub着陆页和工作组存储库:乔·塞恩

ISSUES:尽管在当前的外观和感觉上寻找反馈，但大多在其他地方覆盖！目录结构正在进行。

行动：没有任何

BOARD DECISIONS:没有任何

CVE工作组：如何允许非董事会成员或非CNA参加？Dave Waltermire

讨论：克里斯·约翰逊（Chris Johnson）正在研究WG项目的项目描述，一旦完成这些项目，我们将寻求帮助从事上述项目。我们可以将外部人带到这一目标吗？工作组宪章说是的。

行动：

• 提出了让外部人员从事CNA列表的项目的概念。如果获得批准，则有可能在董事会宪章中编纂。

BOARD DECISIONS:没有任何

公开讨论

CVE ID “OWNERSHIP” TRANSFER:

讨论：由于各种原因，CVE ID可能需要转移“所有权”（CNA在其街区中具有此ID），尽管由于隐私问题，目前仅在内部跟踪其内部跟踪。相互协议和ID转移过程可能需要协议。如果对此进行跟踪并将其保存在公共CVE数据本身中，则此问题变得容易得多，并将其与自动化工作组讨论有关ID“所有权”的出版物和导致的废除块（ID请求API替换块请求）的讨论息息相关。）。

行动：没有，对话正在进行。

CVE JSON Modifications to Support NVD:

讨论:Reference names and sources attributes were added to the JSON schema, which will be going live 4/5/18, unless immediate objections are raised. Discussion concludes a JSON schema should exist to check against NVD data, to ensure validity when provided. MITRE at the current time will only be checking against the minimum schema, (for example, MITRE does not currently validate CVSS scores, if included).

There was a discussion regarding whether there is a need to create another schema file that would allow people to validate their JSON; no action was taken to do so at this time.

行动：没有任何。

RSA安全会议期间的下一个董事会会议：

讨论：董事会讨论了下一次预定的会议在RSA安全会议期间降落的事实，并且许多董事会成员将参加会议。

行动：下一个董事会会议因RSA而重新安排。
BOARD DECISIONS:定于4月18日举行的董事会会议将被取消，并搬到4月25日。定期每两周的董事会会议时间表将保持完整，这意味着5月2日将在5月2日举行董事会会议。

Summary of Action Items:

• Ongoing action items for Strategic Planning working group will hopefully be wrapped up in 2 weeks. The European Regulation conversation is ongoing.
• In the Automation Working Group, Joe Sain will continue with the effort to define a proper directory structure for the CVE Project Github.io site for project artifacts, as well as generating a list of all CVE and WG-related repos.
• Kurt Seifried will develop documentation for how to submit via the Git Pilot before the next Board call.
• MITRE will generate test material for CNA training, while also providing said training every other week for CNAs and pre-CNA entities.
• MITRE will generate a draft press release to announce the approaching 100^thCNA登上，突出了整个CVE计划的增长和改进。
• CNA列表将提出引进外部人员进行工作组项目的概念。如果获得批准，则应在董事会宪章中进行编纂。

Attachment:CVE_Board_Meeting_Summary_4_April_2018.pdf
Description:CVE_Board_Meeting_Summary_4_April_2018.pdf