CVE董事会会议摘要 - 2018年5月16日

CVE董事会会议2018年5月16日

出席董事会成员

克里斯·约翰逊（NIST）

肯特·兰德菲尔德（McAfee）

斯科特·摩尔（IBM）

kurt seifried（redhat）

Dave Waltermire（NIST）

Taki Uchiyama

MITER CVE团队的成员出席

克里斯·科芬

克里斯汀的交易

乔纳森·埃文斯（Jonathan Evans）

乔·塞恩

乔治·蒂尔（George Theall）

议程

2:00 - 2:20：上次会议的介绍，行动项目- 克里斯·科芬（Chris Coffin）

2:20 - 2:40：工作组

· 战略规划 - 肯特·兰德菲尔德

· 自动化 - Chris Johnson，Dave Waltermire

2:40 - 2:50：CNA更新

· DWF - Kurt Seifried

· MITER - 乔纳森·埃文斯（Jonathan Evans），尼克·卡伦（Nick Caron）

2：50 - 3:15：处理无响应的CNA的过程- 乔纳森·埃文斯（Jonathan Evans），尼克·卡隆（Nick Caron）

3:15 - 3:30：木板宪章更新讨论- 肯特·兰德菲尔德（Kent Landfield），帕斯卡·梅尼尔（Pascal Meunier），克里斯·科芬（Chris Coffin）

3:30 - 3:50：公开讨论

3：50 - 4:00：动作项目，总结- 克里斯·科芬（Chris Coffin）

上次会议的行动项目的审查

• 以前的操作项目：Amazon Alexa漏洞讨论将在CVE董事会电子邮件列表（M​​ITER）的帖子中汇总。
  • 地位：5月2日在董事会清单上发起的讨论对董事会会议后预期的问题进行投票。(Kurt asked if it’s possible to assign a REJECT CVE if it is decided to not assign a CVE. Alternatively, it could get a CVE sooner, and if it’s decided later that it’s not a vulnerability, the CVE could be rejected. Kent said we want to avoid low quality CVEs, which would dilute the perceived value of CVE.)
• 先前的动作项目：用户故事的开发将继续，简介图表将更新（MITER）。
  • 地位：正在进行中；5月14日在战略规划工作组中提出了更新。
• 以前的操作项目：有关章程更新过程（MITER）步骤4的开始，请通过电子邮件将其发送给董事会。
  • 地位：完毕。董事会宪章的2.6版现已批准。
• 先前的动作项目：将发送到CVE宪章批准（MITER）之后的CNA工作组建立的电子邮件列表。
  • 地位：5月9日批准的董事会宪章；肯特将尽快与董事会分享电子邮件草案。
• 先前的动作项目：乔纳森·埃文斯（Jonathan Evans）与jpcert联系以确定其作为根CNA的进度，包括来自JPCERT的谁将与根CNA上的董事会合作。
  • 地位： 完全的;在CNA更新中进行讨论。JPCERT表示，他们希望继续成为根CNA。他们建议塔基仍然是POC。
• 以前的操作项目：设置CVE董事会审查自动化工作组宪章的日期。
  • 地位：尚未完成。克里斯·约翰逊（Chris Johnson）需要汇总一封电子邮件，然后发送给克里斯·科芬（Chris Coffin）。
• 先前的动作项目：MITER将向董事会发送电子邮件，向他们询问有关分配CVE ID的旧漏洞或漏洞的价值的输入，这些价值永远不会修补。
  • 地位：还没有完成。
• 先前的动作项目：MITER将与CNA通信有关使用CNA名称的保留CVE ID标记的标签。也将包括标记或不标记的利弊，并鼓励CNA添加他们的想法和疑虑。
  • 地位：还没有完成。

议程项目

董事会工作组

战略规划工作组（肯特·兰德菲尔德）

问题：大部分会议都在讨论他们拥有的三项服务的更新和更改；更改和更新可以用作创建其他服务的模板，并已发送到工作组进行审查。重点是用户故事和功能要求。

行动：N/A。

董事会决定：N/A。

自动化工作组（克里斯·约翰逊 /克里斯·科芬）

问题：有许多不同的讨论，包括GIT Pilot第三阶段能力的时间表。令人担忧的是，我们正在为在本月底之前准备部署的第三阶段功能的截止日期 - 我们没有这样做的地方。需要确定一个合理的日期，以便我们准备好何时准备就绪。有一个动作项目用于制定更新的时间表。讨论的另一个领域是围绕JSON Schema的更新；NVD团队在能够在生产中打开该能力方面一直在进行进行测试。将需要在MITER方面进行一些相当重大的更改，以便获得CNA和内容提交器，以提供主列表中的refsource和Name字段。另一个问题是，是否还有其他可能没有发生的验证方面？

处理项目文档，以便该过程将在GitHub站点上可用。

用例和要求正在进行开发。

致力于优先考虑自动化工作组项目列表中存在的33个问题。

行动：克里斯·约翰逊（Chris Johnson）将在今天晚些时候向克里斯·科芬（Chris Coffin）发送一封电子邮件，以了解最新的宪章。

董事会决定：N/A。

CNA更新

DWF（Kurt Seifried）

地位：没有更新

问题/讨论：N/A。

行动：N/A。

jpcert

地位：JPCERT表示，他们希望继续成为根CNA。他们建议塔基仍然是POC。Taki将接触到JPCERT。

问题：

动作：

MITER（CVE团队）

地位：没有更新

讨论：N/A。

行动：没有任何

处理无反应的CNA的过程（乔纳森·埃文斯，尼克·卡伦）

讨论：大约有4个CNA在一年多以来没有保留ID，或者在一年多的时间内人口统计或发布了ID。乔纳森（Jonathan）将与他们联系，看看他们是否仍然想成为CNA。如果他们确实想成为CNA，那还可以吗？

• 肯特：他们的软件产品没有漏洞吗？是的。他们没有将CVE分配给他们的漏洞吗？否。我们需要确定差异。
• 库尔特：极不可能没有任何漏洞。我认为他们不再从事安全工作，或者他们每年至少发现一个漏洞。在某个时候，需要截止。我们需要确定时间表。
• 戴夫（Dave）：这可能是获取POC信息最新的机会。
• 克里斯·C（Chris c）：我们有多少个cna持续了一年？
• 乔纳森：不是那么多。当我们开始添加自动化并需要他们的信息时，这将影响我们。
• Chris C：与CNA的电子邮件通信的一部分（作为电子邮件的一部分，询问他们是否仍然想成为CNA）应包括期望列表。每个人都会每年与CNA签到，询问他们是否仍然想成为CNA？
• 库尔特建议通过电子邮件向CNA季刊发送电子邮件，以查看他们是否想保持CNA。
• 肯特（Kent）认为每年两次这样做更好 - 季度可能经常出现，用户可能会开始忽略这些电子邮件。
• 乔纳森（Jonathan）：如果季度完成，我们还可以提醒他们发送季度报告。
• 克里斯·C（Chris C）：为了防止电子邮件变得沉闷，我们可以问有关CNA的问题。确保他们在做出回应。我们应该在CNA的规则中创建一个规则吗？
• 肯特：是的，我们需要将后退频道信息保持最新。他们需要知道定期期望此电子邮件请求（每六个月等）
• 库尔特：我们需要给他们30天的回复
• 克里斯·C（Chris C）：如果他们在30天后不响应，该怎么办？
• 库尔特：我会将它们作为CNA删除，因为它们的行为不像CNA

我们可能需要考虑去认证的下一个组是CNA，那些反复/不以正确格式的信息。否则他们没有将产品信息放在描述中。

• 库尔特：这些垃圾CVE还是好的CVE？
• 乔纳森：两者。

• 肯特：我听到的是，我认为我们需要就CNA正在做这些事情进行的董事会呼吁进行认真的讨论。我们需要明确呼唤CNA引起问题。知道谁在做什么，有一些价值。
• 乔纳森（Jonathan）：有这些问题的CNA之一是高通。当我们试图让他们纠正他们的信息时，他们没有。Miter试图纠正条目并将其推出。自从他们成为CNA以来，他们就一直在这样做。
• 肯特：听起来像是一个教育问题。他们需要进行一些培训。
• 乔纳森（Jonathan）：另外，苹果（Apple）不提供我们的描述；米特（Miter）已经完成了所有工作。

行动：乔纳森（Jonathan）和克里斯·科芬（Chris Coffin）可以在CNA规则中输入一些内容以解决此问题。

董事会宪章更新讨论（Kent Landfield，Pascal Meunier，Chris Coffin）

讨论：还有其他几个更新需要添加到董事会宪章中。由于我们刚刚投票并更新了《宪章》，因此我们可以添加帕斯卡（Pascal）提出的问题，以添加到下一个宪章更新中。

行动：

公开讨论

项目＃1：
戴夫：与NVD与分析师交谈；他们提到他们越来越开始看到CVE描述通过了描述中嵌入的CVSS分数和属性。他们说，在过去的一年中，他们越来越多地看到了这一点。他们向他发送了一些例子，他将其发送到董事会名单。此外，我们一直在努力增强我们的CVE格式，以包括一些结构化漏洞信息的正式场所。担心描述中包括其中的内容是对描述字段的滥用。我们需要鼓励CNA使用适当的字段。我们在这里设定不良先例。我们需要在这个问题上有一些最佳实践。

• 肯特：很高兴看到人们正在提供CVSS分数，但这不是做到这一点的正确方法。
• 戴夫发现了大约1,293个实例。大多数来自Icscert和Oracle。问题不是他们在描述中使用CVSS语言；我关心的是包含其他数据。
• 克里斯·C（Chris c）：我们可能需要一个黑色列表，这些内容不应包含在描述中。
• 戴夫（Dave）希望看到我们围绕编写描述的最佳实践制定一些文档。
• 库尔特：列出我们要在说明中包含的JSON中支持的内容。我们不能提供允许的白色列表和不允许的黑色列表吗？
• 戴夫：我认为库尔特暗示的是解决这个问题的一种方法。我们应该致力于制定一些更强大的文档。

行动：考虑一些培训，包括我们一直在讨论的培训，鉴于自动化的潜力。

项目＃2：
克里斯·C（Chris C。）：肯特（Kent）在直接沟通中提到，CVE-ANNOUNCE邮件列表新闻通讯在信息上相当稀少，并且可以改善。万博下载包

肯特：我们已经讨论了如何联系我们的利益相关者？

克里斯·C（Chris c）：该清单受到好评。我们总是超过10K订户。

肯特：我们需要用有益的东西与那些10K订户联系。让我们用它来教育他们并分享有关CVE的信息。

克里斯·C（Chris C）：这指出了新闻源上的问题。万博下载包

肯特：我们需要包括新闻报道的摘录，而不仅仅是链接。万博下载包

克里斯·C（Chris c）：而且您还指出它可能被频繁发送。

肯特：我认为如果有东西要宣布，我们需要将其发送出去。在董事会列表中就此进行对话可能很高兴。有人偶尔写一篇简短的文章可能很高兴。也可能会很高兴包含来自外部新闻来源文章的链接。万博下载包

克里斯·C（Chris C）：我们曾经做过更多的事情，但我们停下来是因为它“吵了”。也许我们应该将其引入，但请将其保留在有关CVE的专门文章中。

项目＃3：
克里斯·C（Chris C）：我们是否想将克里斯·约翰逊（Chris Johnson）添加到董事会名单（最终在董事会中）？

戴夫：我没有问题，将他添加到邮件列表中，最终将他添加到董事会中。

电话中没有人反对他被添加到邮件列表中。

肯特：最近，我们弹出了邮件列表中的人们，除了写支票（赞助商）外，他们没有任何责任。很高兴知道谁在董事会名单上。我没有添加人员的问题，但是我想确保我知道谁是列表的一部分。

克里斯·C（Chris C）：我认为将列表公开向成员公开并在添加或删除时通知列表没有任何问题。

行动项目摘要

• 起草一封电子邮件，以定期与CNA接触
• 通过Pascal的更新发送修订版的宪章版本
• 在CNA培训上工作，包括白色列表/黑色列表以进行描述，并研究潜在的自动化
• 需要更新宣布邮件列表，以便它们有更多信息。更新我们提交的方式 - 添加更多信息以及链接，新闻文章的合并，不经常发送万博下载包
• 将克里斯·约翰逊（Chris Johnson）添加到公共董事会邮件列表中
• 与私人董事会列表分享公共和私人董事会成员

重大决定：

没有任何

依恋：CVE董事会会议2018年5月16日。
描述：CVE董事会会议2018年5月16日。