[[日期上一篇] [下一个日期] [线程] [线程接下来] [日期索引] [线程索引这是给予的
CVE董事会会议摘要 - 2018年4月25日
- 到:CVE编辑委员会讨论<cve-editorial-board-list@mitre.org>
- 主题:CVE董事会会议摘要 - 2018年4月25日
- 从:“棺材,克里斯” <ccoffin@mitre.org>
- 日期:THU,2018年5月3日18:01:11 -0400
- 接受语言:en-us
- 身份验证重分:mitre.org;dkim = none(未签署消息)header.d = none; mitre.org;dmarc = none action = none header.from = mitre.org;
- 交货日期:2018年5月4日星期五07:43:49
- 线程索引:adpjkkhdsypfiik1q26ol47c+nc/xq ==
- 线主题:CVE董事会会议摘要 - 2018年4月25日
|
CVE董事会会议2018年4月25日
出席董事会成员
安迪·巴林斯基(思科) 威廉·考克斯(Black Duck Software) 肯特·兰德菲尔德(McAfee) 斯科特·劳勒(LP3) Art Manion(CERT/CC) 斯科特·摩尔(IBM)
Taki Uchiyama(松下) MITER CVE团队的成员出席
克里斯·科芬
克里斯汀的交易
乔纳森·埃文斯(Jonathan Evans) 乔治·蒂尔(George Theall)
议程
2:00 - 2:10:上次会议的介绍,行动项目- 克里斯·科芬(Chris Coffin) 2:10 - 2:30:工作组
2:30 - 2:50:CNA更新
2:50 - 3:15:RSA会议的要点- 董事会 3:15-3:30:季度计划审查和CNA报告- 克里斯·科芬(Chris Coffin)和乔纳森·埃文斯(Jonathan Evans) 3:30 - 3:50:公开讨论
3:50 - 4:00:动作项目,总结- 克里斯·科芬(Chris Coffin)
上次会议的行动项目的审查
议程项目
董事会工作组
战略规划工作组(肯特·兰德菲尔德)
问题:没有更新 行动:N/A。
董事会决定:N/A。
自动化工作组(克里斯·约翰逊 /克里斯·科芬) 问题:没有更新 行动:N/A。 董事会决定:N/A。
CNA更新
DWF(Kurt Seifried)
地位:没有更新
问题/讨论:N/A。
行动:N/A。 jpcert(taki uchiyama) 地位:N/A。 问题/讨论:N/A。
行动:N/A。 MITER(CVE团队)
地位:Palo Alto Networks和Hillstone现在是CNA;我们接近宣布Avaya,也许是TWCERT/CC。Naver(韩国公司)希望成为CNA。我们还与GE和Gitlab讨论了成为CNA。GitLab已撤回了成为CNA的请求,因为使用MITER CNA请求CVE ID足以满足他们的需求。 讨论:N/A。
行动:没有任何
RSA会议的外卖(董事会成员) 讨论:肯特(Kent) - 蒙上了许多人以积极的方式谈论CVE。他在RSA上进行了有关修补(游戏表演格式)的演讲。他从听众那里听到的一件事是,他们非常有效地使用了CVE,并且(可悲的是)他们将CVSS用作门槛,专注于CVE并纠正已达到一定阈值的东西。有人戴着“我们说CVE”按钮。 克里斯·科芬(Chris Coffin)说,我们有大约10-15家公司成为CNA的兴趣。 肯特:周三举行了一次脆弱性会议,我们就如何改善CVE(有关角色)进行了很好的对话;如何从技术和政治角度改变重点。Art Manion:会议上讨论的另一个线程是关于医疗设备以及他们确实接收CVE的事实。 行动:n/a
季度计划审查和CNA报告(Chris Coffin和Jonathan Evans) 讨论:最新的成绩单于4月16日发行了2018年第一季度(共享屏幕并浏览幻灯片)。肯特(Kent)认为,需要将开源CVE ID分配(和CNA)请求转移到DWF。乔治·泰尔(George Theall)提到,库尔特·塞里德(Kurt Seifried)现在只能在周末在DWF上工作(他需要支持)。 肯特询问董事会是否可以获得CNA数据。董事会应该可以访问数据(不必以图形形式;仅原始数据就可以了)。他认为,董事会应该可以访问数据,告诉他们谁变得越来越好,谁在缓慢,正在改进的人等。可能不需要所有的图表和图表;电子表格中的数据可能同样有用。 Art Manion说,能够公开展示其中的一些信息将是很棒的。有很多价值,显示了一个项目在几年内取得的改进。任何未命名CNA的东西都可以使用。 行动:克里斯·科芬(Chris Coffin)将与库尔特(Kurt)联系以了解更多信息,并找出斜切能够为DWF提供支持。乔纳森(Jonathan)和克里斯·科芬(Chris Coffin)将讨论如何将一些原始数据传递给董事会。
公开讨论 CNA协作WG:肯特希望获得宪章的批准,以便我们可以前进。乔纳森(Jonathan)提到了电子邮件向交换团体的举动 - 不确定会产生什么影响。克里斯·科芬(Chris Coffin)说,列表的名称将会更改。他会发现明天乔·塞恩(Joe Sain)是否还有其他影响。 乔纳森(Jonathan)说,我们对希克维斯(Hikvision)有一个问题,因为他们在中国,他们的公共咨询只能在中国人们使用。因此,我们无法验证咨询。如果中国决定阻止Github,我们该怎么办?艺术:我们应该担心,但是我们对许多中国软件/漏洞有盲点。CERT/CC试图帮助引导Pacter的功能或团队。我们经常去西方世界所在的会议,但我真的不知道中国或印度发生了什么。这是一个以任何方式到达这些市场的问题。我拥有的最切实的资源是能够出示和/或参加某些可能会有中国软件开发人员的会议。 是否专注于试图在中国政府中找到合适的人来与这些对话进行对话?艺术 - 确定我们已经接近这一点了。我们愿意与C-Certs,CNVD,行业团体,政府,客户等进行交谈。我们试图向软件开发公司传达信息,以使他们应该将CVE ID分配给其漏洞。肯特可能能够促进国内会议;他将在上面努力。 乔纳森说,如果我们无法访问CNA的咨询,仍然存在问题。我们将无法验证提交的条目有公众参考。如果我们在自动化期间放弃此支票,这可能会变得没有意义。 乔纳森(Jonathan)有几个CNA询问他们是否应该分配CVE ID - 他们认为不应该分配ID,因为它是在一年前修复的,但现在研究人员希望它公开。如果乔纳森(Jonathan)能够获得一些帮助,以表明CVE ID的下游效果表明为何分配ID很重要(寻求董事会的帮助来创建文档),那就太好了。乔纳森(Jonathan)将向董事会邮寄列表发送几个句子,以寻求撰写文档的帮助,以显示分配CVE ID的重要性。 如果CVE ID的范围不存在,而是通过一系列事件会导致脆弱性 - 应该做什么?规则中没有解决此情况。此外,乔纳森(Jonathan)建议将“计数规则”重命名为“分配规则”。 在一些情况下,在CNA准备就绪之前,研究已经公开了。一种解释是,CNA必须在公开后立即填充该条目。另一个解释是,CNA必须尽快填充该条目他们(CNA)公开。由此产生的相关过程问题是,如果有人联系MITER询问CNA是谁(如果研究人员出版了CVE),Jonathan将无法告诉他们CNA是谁(出于隐私原因)。在许多情况下,MITER处于中间。是否有可能指向私人数据库? 乔纳森(Jonathan):我们是否想将其标记为标记为CNA的规则,还是我们想将其保留为自愿的基础?肯特提醒所有人,我们不能强迫CNA做任何事情,因为这是一项自愿计划。这是一个沟通问题,需要逐案处理。我们需要询问CNA列表(并将其官方文件)询问上面讨论的有关使用CVA标记CVE的问题。作为CNA,肯特不认为应该使用保留的CNA名称标记CVE ID预订。但是,对于所描述的过程问题,肯特不担心向外部人士询问保留但公共CVE ID分配CNA的名称,并在这些情况下指着他们的方式。 行动项目摘要
重大决定:
没有任何
|
依恋:CVE董事会会议2018年4月25日。
描述:CVE董事会会议2018年4月25日。
- 上一条日期:FW:自动化工作组宪章的审查和批准
- 下一个日期:CVE ID猜测
- 上一个线程:FW:自动化工作组宪章的审查和批准
- 下一个线程:CVE ID猜测
- 索引:
