CVE董事会会议摘要 - 2018年5月30日

CVE董事会会议2018年5月30日

出席董事会成员

威廉·考克斯（Black Duck Software）

贝弗利·芬奇（联想）

肯特·兰德菲尔德（McAfee）

斯科特·摩尔（IBM）

kurt seifried（redhat）

Taki Uchiyama（松下）

安迪·巴林斯基（思科）

MITER CVE团队的成员出席

克里斯·科芬

克里斯汀的交易

乔纳森·埃文斯（Jonathan Evans）

乔治·蒂尔（George Theall）

议程

2:00 - 2:15：上次会议的介绍，行动项目- 克里斯·科芬（Chris Coffin）

2:15 - 2:30：工作组

· 战略规划 - 肯特·兰德菲尔德

· 自动化 - Chris Johnson，Dave Waltermire

2:30 - 2:45：CNA更新

· DWF - Kurt Seifried

· MITER - 乔纳森·埃文斯（Jonathan Evans），尼克·卡伦（Nick Caron）

2:45 - 3:15：建立质量检查工作组- 乔纳森·埃文斯（Jonathan Evans）

3:15 - 3:30：Amazon Alexa漏洞更新- 克里斯·科芬（Chris Coffin）

3:30 - 3:50：公开讨论

3：50 - 4:00：动作项目，总结- 克里斯·科芬（Chris Coffin）

上次会议的行动项目的审查

• 以前的操作项目：发送有关协作WG的电子邮件。
  • 地位：在流程中（肯特·兰德菲尔德起草电子邮件）。
• 以前的操作项目：起草一封电子邮件，以定期与CNA接触（MITER）。
  • 地位：TBD。
• 先前的动作项目：发送带有Pascal更新（MITER）的宪章的修订版。
  • 地位：修订版尚未分发给董事会；2.6版已发布到cve.mitre.org。
• 以前的操作项目：在CNA培训上进行工作，以包括白色列表/黑色列表以进行描述，并研究潜在的自动化（MITER）。
  • 地位：正在进行。
• 先前的动作项目：需要更新宣布邮件列表，以便它们有更多信息。更新我们提交它们的方式 - 添加更多信息以及链接，新闻文章的合并，不经常发送（MITER）。万博下载包
  • 地位：目前将CVE-Announce格式重新设计为更加面向新闻通讯。万博下载包
• 先前的动作项目：将克里斯·约翰逊（Chris Johnson）添加到公共董事会邮件列表中。
  • 地位： 完全的。
• 以前的操作项目：与CVE董事会成员共享CVE董事会名单。
  • 地位：完全的。

议程项目

董事会工作组

战略规划工作组（克里斯·科芬 /肯特·兰德菲尔德）

问题：MITER CVE团队正在为该计划的角色/结构的一部分提供服务。计划在本周开始碰撞；有望将服务与服务联系在一起。我们需要优先考虑要将其交给AWG的服务。我们还汇总了6月底（6月26日至29日）在马里兰州盖瑟斯堡举行的“保存日期”。还将用户注册表服务纳入用户故事。

行动：N/A。

董事会决定：N/A。

自动化工作组（Chris Johnson / Dave Waltermire）

问题：克里斯·约翰逊（Chris Johnson）要求人们在Github跟踪器中审查问题（分类，标记），目的是将这些问题解析到各个项目团队中。GIT飞行员的第3阶段状态有更新的状态。讨论了向NVD人士提供有关工作流程的会议的最新信息，并讨论了如何启动项目团队的讨论 - 他们将参加这些团队。对该宪章的董事会投票将于5/31到期，但这不是正式投票（静音会接受，因为只有Miter才能要求投票）。

行动：克里斯·C（Chris C）有一个动作项目可以与克里斯·约翰逊（Chris Johnson）核对，以验证自动化WG宪章批准过程的过程。

董事会决定：N/A。

CNA更新

DWF（Kurt Seifried）

地位：致力于制作XEN和PHP CNA。

问题/讨论：N/A。

行动：N/A。

MITER（CVE团队）

地位：乔纳森（Jonathan）联系了很长一段时间以来一直没有联系的四个CNA。得到了两个回应。这两个（Qihoo 360和Marklogic）希望保持CNA，而一个（Qihoo 360）表示有兴趣扩大其覆盖范围。如果发生这种情况，它们将更加活跃。库尔特说，他们已经发布了有关其他产品（XEN）的报告，它们是非常好，高质量和详细的报告。Taki还表示，他已经与360合作，并同意他们提供了良好的报告。

该电子邮件响起了乔纳森（Jonathan）发送给有问题的两个CNA的通知，但在两种情况下，公共电子邮件仍然活跃。

ABB（瑞士）要求成为CNA；他们为工业生产提供机器人技术。

讨论：N/A。

行动：没有任何

建立质量检查工作组（乔纳森·埃文斯）

讨论：在上次董事会会议上，我们讨论了包括CVSS分数/向量在描述中的问题，并将其扩展到了有关描述质量应有的内容的讨论中。也许我们应该开发一个可以做出这些决定的小组，而不仅仅是做出所有决定的斜切。根据我最初写的内容，CVSS矢量在描述中是允许的。我们可以将其分开，并创建一个讨论质量问题的WG。他们可以为描述中允许的内容提出新的规则，还可以制作指导文件。肯特：这是描述WG还是QA WG？乔纳森：不仅仅是描述。CVE条目不仅用于描述。它将监督CVE ID的所有部分的质量。Kurt：创建一个好的CVE的一部分是获得有关脆弱性的良好信息； might be helpful to have guidelines on what to ask for in order to get a good (well written) CVE. Maybe it should be a CVE usability group—broader scope than just quality. There is (should be?) a minimum data set required to supply the assigner before a CVE will be assigned.

肯特：我正在听到几件不同的内容 - 您正在寻找描述的质量，也是CVE条目的其他方面的质量，以及CVE提交在下一阶段之前的指南。

乔纳森：创建该组是否有意义？有兴趣吗？

库尔特：我绝对对此感兴趣。

肯特：如果你们想这样做，我没有任何问题。宪章需要什么？

克里斯C：任何董事会成员都可以创建一个小组；安全要做的是将电子邮件发送到列表中，以确保没有重大问题。我们可以创建一份宪章草案，并将其发送到董事会列表以供批准。我们可以使用QA WG还是需要其他名称？

库尔特：也许使它只是CVE质量WG。

行动：将电子邮件发送到列表中，以确保没有重大问题。我们可以创建一份宪章草案，并将其发送到董事会列表以供批准。

亚马逊Alexa漏洞更新（Chris Coffin）

讨论：我们计划在一天结束时填充Amazon Alexa漏洞。我打算将汤姆（Tom）更新到库尔特（Kurt）提议的版本。CVE条目将在美国东部时间下午5点填充。

Kurt：CSA有兴趣与CVE服务的CVE董事会合作，这与他们在安全，信任和自动化方面所做的工作相吻合。（云证券WG：https://cloudsecurityalliance.org/group/cloud-vulnerabilities/#_overview）。

行动：Kurt向董事会发送有关云服务讨论的电子邮件。

公开讨论

N/A。

行动项目摘要

• 与克里斯·约翰逊（Chris Johnson）有关AWG宪章的地位；董事会输入和更改应结束5/31（克里斯·科芬（Chris Coffin）将向克里斯·约翰逊（Chris Johnson）发送消息）
• 向CVE质量WG上的董事会发送注释；发送宪章草案（在该电子邮件中或单独发送）
• 库尔特（Kurt）发送云服务讨论的后续行动
• 将有关协作WG的电子邮件发送到CNA
• 起草一封电子邮件，以定期与CNA接触（MITER）
• 在CNA培训上工作，以包括白色列表/黑色列表以进行描述并研究潜在的自动化（MITER）
• 需要更新宣布邮件列表，以便它们有更多信息。更新我们提交它们的方式 - 添加更多信息以及链接，新闻文章的合并，不经常发送（MITER）。万博下载包

重大决定：

没有任何

依恋：CVE董事会会议2018年5月30日。
描述：CVE董事会会议2018年5月30日。