(日期:][下一个日期][线程:][线程下][日期索引][线程索引]
Re:一个有趣的CVE历史……
- 来:“Kulick,贝琪" <betsy.kulick@hq.dhs.gov< >,CVE编辑委员会讨论cve-editorial-board-list@mitre.org>
- 主题再保险:一个有趣的CVE的历史……
- 从:“Landfield,肯特" <Kent_Landfield@McAfee.com>
- 日期:2018年5月11日星期五16:06:29 + 0000
- 接收语言:en - us
- Authentication-results:防晒系数=失败(发送者的IP 192.52.194.235) smtp.mailfrom = mcafee.com;imc.mitre.org;dkim =失败(签名并没有验证)header.d = mcafee.com, imc.mitre.org;dmarc =没有行动=没有header.from = McAfee.com;
- Authentication-results-original:防晒系数=(发送者的IP) smtp.mailfrom =Kent_Landfield@McAfee.com;
- 交货日期:2018年5月11日13:39:07星期五
- Dkim-signature:v = 1;一个= rsa-sha256;c = /放松放松;d = mcafee.com;s = s_mcafee;t = 1526054818;h =从:到:主题:Thread-Topic: Thread-Index:日期:问题:引用:回答:接收语言:内容语言:X-MS-Has-Attach: X-MS-TNEF-Correlator: authentication-results: x-originating-ip: x-ms-publictraffictype: x-microsoft-exchange-diagnostics: x-ms-exchange-antispam-srfa-diagnostics: x-microsoft-antispam: x-ms-traffictypediagnostic: x-microsoft-antispam-prvs: x-exchange-antispam-report-test: x-ms-exchange-senderadcheck: x-exchange-antispam-report-cfa-test: x-forefront-prvs: x-forefront-antispam-report: received-spf: x-microsoft-antispam-message-info: spamdiagnosticoutput: spamdiagnosticmetadata:内容类型:MIME-Version: X-MS-Office365-Filtering-Correlation-Id: X-MS-Exchange-CrossTenant-Network-Message-Id: X-MS-Exchange-CrossTenant-originalarrivaltime: X-MS-Exchange-CrossTenant-fromentityheader: X-MS-Exchange-CrossTenant-id: X-MS-Exchange-Transport-CrossTenantHeadersStamped: X-OriginatorOrg X-NAI-Spam-Flag: X-NAI-Spam-Level: X-NAI-Spam-Threshold: X-NAI-Spam-Score: X-NAI-Spam-Version;bh = NZ44mkKc / wLqdOYpa9ATQJK3ACA8n8e + Mq + SKK l1L1s =;b = TKR99RSpzOH4Ko7vyYQarRik32X7r46g7JCg6O0w FM4AjcNXLVC96UJfynv2XNsiSl6Bq2hySP8CDml9CTicrXY7z2 / 7 yf3tcqzfgujo9abjavj1vcqwajr17 zmgBxWdEcW7hobtqKd 7 dzzhezjcb723xf + 98 gjsio2647s / uI =
- 在回复:< BCE973C35065DE47B193825D42A3E29D017ABDEEBB@D2ASEPREA011 >
- 引用:<8 e6a3855 - 480 a - 436 f - b78d dcc7b5992517@mcafee.com> < BCE973C35065DE47B193825D42A3E29D017ABDEEBB@D2ASEPREA011 >
- Spamdiagnosticmetadata:NSPM
- Spamdiagnosticoutput:1:9 9
- Thread-index:AQHT6TfeMa8axumbaEOzlCG34U4yaKQqrvMg / / + u1QA =
- Thread-topic:一个有趣的CVE的历史……
|
贝琪,
我做了一篇文章用于内部目的,一些在这个名单上看到了在其发展的草案。为内部教育,但在当时已经考虑外部刊物。它可能需要一些小清理删除内部相关项目但除此之外…
谢谢,谢谢,谢谢,谢谢,谢谢!,Спасибо!,谢谢!,ありがとう,धन्यवाद! - - - 肯特Landfield + 1.817.637.8026 kent_landfield@mcafee.com
来自:“Kulick,贝琪”< betsy.kulick@hq.dhs.gov >
CVE团队:我没有见过你,但我的一部分国土安全部团队帮助管理合同这有价值的工作。当然,CDM项目使用cf帮助评分机构风险的姿势,我们消费者。
我发现甲板上迷人的这些挑战存在多久,和注意的显著进步在解决一些在过去的18年(飞多少时间)。
CVE的故事是有趣的行业/学术/政府伙伴关系。有谁做了它发表在任何历史贸易酒吧吗?如果没有,我认为这将是一个有价值的主题,欢迎任何建议输入。
不需要“回复所有人”,以免阻塞收件箱。
再次感谢您提供的有价值的服务。
贝特西Kulick, CISSP
连续诊断和缓解
副项目经理
美国国土安全部/ CS&C / NSD
电话:703-235-4255 /手机:202-510-3275
支持国土安全部的使命:荣誉和正直,我们将保护美国人民,我们的国土,我们的价值观。
来自:Landfield,肯特(mailto: Kent_Landfield@McAfee.com)
我跑过。蛮有意思的,我们来自那么多远我们目前穿越100000年的马克…。幻灯片# 8有当前成员由我用红色突出显示。,)
谢谢,谢谢,谢谢,谢谢,谢谢!,Спасибо!,谢谢!,ありがとう,धन्यवाद! - - - 肯特Landfield + 1.817.637.8026 kent_landfield@mcafee.com
来自:“棺材里,克里斯”< ccoffin@mitre.org > 2018年5月2日CVE董事会会议
董事会成员参加
威廉·考克斯(Synopsys对此)
贝弗利雀(联想)
肯特Landfield (McAfee)
斯科特·摩尔(IBM)
帕斯卡贝(出现/普渡大学)
Kurt Seifried (RedHat)
戴夫Waltermire (NIST)
安迪Balinsky(思科)
横切CVE团队的成员参加
克里斯棺材
克里斯汀的交易
乔纳森埃文斯
乔祈神保佑
乔治Theall
议程
两点——2:10:介绍,从上次会议行动项——克里斯棺材
2:10 - 2:工作小组
2 - 3:CNA更新
3 - 3:15:外卖从RSA会议——乔祈神保佑
3:15 - 3:董事会宪章更新状态和后续步骤——克里斯棺材
3 - 50分:公开讨论
美东- 4点:行动项目,总结——克里斯棺材
回顾上次会议行动项
之前的活动项目:发送电子邮件向董事会名单得到意见一个潜在的特许更新允许打开工作组参与任何人,不仅仅是董事会成员和必须。是一个宪章更新需要描述这个或董事会已经觉得这是暗示什么?
以前的行动项目:斜方和库尔特谈谈DWF资源和帮助他。
以前的行动项目:乔纳森和克里斯讨论得到董事会的一些原始数据通知CNA报告卡片。
以前的行动项目:横切将发送一封电子邮件向董事会要求他们输入的值分配CVE id为年长的漏洞或永远不会修补漏洞。
以前的行动项目:斜方将与CNAs的标签保留CVE IDs CNA的名字。的利弊标记或标签也将包括,必须将被鼓励加入他们的想法和担忧。
议程项目
委员会工作小组
战略规划工作小组(Kent Landfield)
问题:走过一些更新角色演示;克里斯Levendis想要确保我们在正确的道路(提供目标,等等)。主要的变化要做幻灯片涉及更新流程。需要一个ID分配服务过最好是分配一块永不改变为不同CNAs ?乔纳森埃文斯称他们为“同比”模块和“前缀模式。“如果我们有这样的东西,它需要一个ID分配服务。
有必要鼓励“好行为”和抑制“不良行为”对使用和发布CVE id。
行动:把一些用例放在一起,这样问题陈述是铰接,然后发送。
董事会决策:N /一个
自动化工作小组(克里斯·约翰逊/ Chris棺材)
问题:出来的一个行动项周一的自动化工作小组会议是为JSON格式发送宪章和CNA注册表,AWG本身一样好。克里斯·约翰逊想获得董事会的批准,它代表了必要的AWG的活动。项目回购GitHub上设置,我们将建立。JSON格式的变化,要求NVD实施(名称属性,改变空格是如何被处理)。NVD是发送新代码的过程中使一代的CVE从库而不是allitems列表。xml文件。
有一个讨论outreach-as参与是增加,谁将合适的候选人参与AWG吗?还讨论了,在准备旋转组,什么样的文档你我们需要解释我们的流程(参与渠道,GitHub帐户,poc、用户故事、报告等)。库尔特提供示例文档,所以我们有一些例子。我们也谈到过一些问题管理和沟通机制,它可以被添加到流程文档。
行动:克里斯·约翰逊将电子邮件分发给董事会的审查和批准美国线规和AWG项目章程。克里斯·约翰逊将整合流程草案文档和GitHub审查。
董事会决策:N /一个
CNA更新
DWF (Kurt Seifried)
状态:没有更新
问题讨论:N /一个
行动:N /一个
斜方(CVE团队)
状态:两个请求成为CNAs-one Xen (DWF),另一个是Teltonica(物联网制造商在立陶宛)。乔纳森将试图从他们那里得到更多的信息。没有新的CNAs自上周以来。
讨论:N /一个
行动:没有一个
外卖从RSA会议(Joe祈神保佑)
讨论:乔有一个世博会通过,花了他所有的时间在地板上。看起来像越来越多的公司正在考虑分析平台,看看现有的数据feeds-fusing数据连接在一起,而严格依赖自己的数据和情报。有一些有趣的事情在卫生保健领域,包括公司、Cynerio,执行无源网络发现、设备分类,在医院的网络异常检测。我们也开始看到越来越多的工业安全控制(isc)供应商在会议上。人,我们非常积极的谈到了CVE,大约有20家公司表示有兴趣CNA项目和成为CNA的可能性。
行动:N /
公开讨论
亚马逊Alexa问题(Chris棺材)
讨论:问题与亚马逊Alexa可能记录信息和对话你不希望记录下来。这里是一个物联网和SaaS的问题。这需要一个CVE吗?他与亚马逊沟通关于这个话题;他们不是看这个作为CVE(他们宁愿不被释放)。库尔特做了一些research-red LED灯应亮顶部如果没有记录。作为一个用户,我有控制麦克风吗?你应该得到一个警告,并允许与否。在这种情况下,使用Alexa和部署的方式,你不盯着它。Alexa有着非常敏感的麦克风。 It can record if you’re not in the same room—and you can’t see the LED light, which indicates if it’s recording or not. Amazon is saying they will fix this to some degree—can we change the behavior of Alexa to mitigate the problem? Amazon thinks yes. Would the CVE be against Alexa, or a component of that device?
集团共识:Kent-not准备说这是一个漏洞;戴夫说一样的。贝弗利没有意见。克里斯·约翰逊需要更仔细地看待这个问题。帕斯卡确信这是一个弱点,但愿意接受的可能性,它不需要一个CVE(但他认为它)。克里斯棺材认为类似于乔纳森-我们应该写CVE专门为re-prompt特性。董事会成员的共识在发出调用,如果CVE时,需要用一个非常狭窄的描述。
行动:
这个问题将在一篇总结了CVE董事会邮件列表进行进一步的讨论。
行动项目的总结
重大决策:
没有一个
|
- 引用:
- 一个有趣的CVE历史……
- 来自:“Landfield,肯特”< Kent_Landfield@McAfee.com >
- RE:一个有趣的CVE历史……
- 来自:“Kulick,贝琪”< betsy.kulick@hq.dhs.gov >
- 一个有趣的CVE历史……
- 上一页的日期:RE:一个有趣的CVE历史……
- 下一个按日期:CVE董事会会议议程——2018年5月16日,下午两点到四点
- 前线程:RE:一个有趣的CVE历史……
- 下一个线程:CVE董事会会议议程——2018年5月16日,下午两点到四点
- 指数(es):
