CVE董事会会议总结2018年6月- 13年

CVE董事会会议2018年6月13日

董事会成员参加

威廉·考克斯(黑鸭子软件)

肯特Landfield (McAfee)

斯科特·劳勒(LP3)

斯科特·摩尔(IBM)

帕斯卡莫尼耶(出现/普渡大学)

Kurt Seifried (RedHat)

塔基•中山教授(松下)

安迪Balinsky(思科)

横切CVE团队的成员参加

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

乔祈神保佑

乔治Theall

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作小组

· 战略规划——Kent Landfield

· 自动化——克里斯·约翰逊,戴夫Waltermire

2:30 - 2:45:CNA更新

· DWF——Kurt Seifried

· 斜方——乔纳森·埃文斯尼克卡隆

2:45 - 3:15:亚马逊Alexa决定总结——克里斯棺材

3:15 - 50分:公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

• 以前的行动项目:检查与克里斯·约翰逊在AWG宪章的状态。(Chris棺材会将消息发送给克里斯·约翰逊)。

• 状态:没有最后的但应该很快。
• 以前的行动项目:发送报告董事会CVE质量工作组(斜方)。
  • 状态:TBD
• 以前的行动项目:Kurt Seifried发送后续电子邮件在云服务的讨论。
  • 状态:讨论(Kurt和CSA的电话后会发出一些)。
• 以前的行动项目:电子邮件被发送到CNA列表关于CNA合作成立工作组(斜方)。
  • 状态:TBD。草案是准备好了;克里斯棺材将今天晚些时候发送CNA列表。在一个单独的电子邮件没有写,我们将要求提名委员会联络。
• 以前的行动项目:继续工作CNA培训。
  • 状态:在过程。
• 以前的行动项目:需要更新宣布邮件列表,这样他们有更多的信息。更新我们的提交方式them-adding更多信息以及链接,将新闻文章,不像经常发送(斜方)。万博下载包
  • 状态:完成了。
• 以前的行动项目:更新董事会章程根据帕斯卡推荐默(斜方)
  • 状态:TBD

议程项目

委员会工作小组

战略规划工作小组(Chris棺材/肯特Landfield)

问题:我们开始讨论如何写CNA合作工作组宣布从的角度来看,WG站了起来。周围的大部分讨论面对面我们6月26 - 28日期间,我们正在开发新作战概念。我们建立的需求,将推动自动化WG项目。我们有很多不同的领域,需要解决:规则变化,可能会影响董事会的投票在Alexa的脆弱性;你如何处理与人工智能产品漏洞;在7月初开始讨论更新计数规则。

我们需要建立一个董事会会议专门讨论如何更新CNA规则。

行动:N /一个

董事会决策:N /一个

自动化工作小组(克里斯·约翰逊/戴夫Waltermire)

问题:微软首次参加。他们非常感兴趣的是过程的一部分来帮助塑造自动化工作。克里斯提到ID分配服务,他们(微软)非常感兴趣。克里斯·约翰逊有机会定义一些标签和附加的AWG GitHub的一些问题。微软经历一些过程和他们如何使用CVE今天。我们谈论了一些关于如何处理目标GitPilot的第三阶段。

行动:

董事会决策:N /一个

CNA更新

DWF (Kurt Seifried)

状态:没有什么专业报告。

问题讨论:N /一个

行动:N /一个

斜方(CVE团队)

状态:我们有两个组织接触成为CNAs:江森自控(暖通空调、汽车)和5 ecurity.cn(研究员在中国组织)。他们似乎相当活跃iwantacve.cn(通过网站帮助中国研究人员请求cf)。他们可以被认为类似于供应商协调。

库尔特想知道我们做些什么来确保人们想成为恶意协调员必须不做这个原因吗?(Jonathan发布这个聊天窗口:http://cve.mitre.org/cve/cna/rules.html Section_2_2_communication_rules10项http://cve.mitre.org/cve/request_id.html)。

肯特同意担忧;我们需要联系他们,跟他们讨论他们的期望和他们如何认为自己适合的环境。

乔纳森说,我们一直使用高通。他们须CVE条目;他们这次表现的更好所以我们填充。Mozilla提交我们大多数的积压我们填充这些(约300条)。

讨论:N /一个

行动:没有一个

JPCERT

状态:塔基•伸出JPCERT,他们计划通过塔基•根CNA和可以报告任何更新;他尚未收到任何更新。起初他会看到有些人面对面的和可能得到一些更新。没有sub-CNAs的迹象。

亚马逊Alexa决定总结(Chris棺材)

讨论:我们举行了投票;CVE发布和填充。从本质上讲,我们选择亚马逊Alexa的分配和填充问题甚至认为没有的最终用户,他们在云中低等都减轻了亚马逊。求问题,展望未来,是否客户控制和INC3专门在当前计数规则,要求或者需要根据问题域略有不同(提高自己的复杂性)?

库尔特:亚马逊做出任何评论吗?他们认为这是一个非定制控制他们知道我们有规则,但他们不一定会同意我们的填充CVE但他们快乐我们给他们一个正面和保持他们的循环。

帕斯卡:关掉设备是客户控制的一种形式。

肯特:有要计数规则的情况下,我们必须为特定类型的技术使用定制它们吗?我怀疑yes-especially关于医疗设备。计数规则的审查期间,我们需要看看我们的结构,这样我们可以支持这种情况,一个对于所有意图和目的,是一个技术不同于我们所面临的环境,以及它如何适用于其他组吗?我们可能有不同的计算规则不同的技术漏洞。

库:我想要一套规则。我得到,汽车,医疗,科技,等等,是非常不同的。但是我担心的是如何分割?线已经模糊。我认为我们需要一个主组规则附录。

肯特:我只是想添加灵活性计数规则,这样我们才能解决这些问题当他们出现。

克里斯:我们为亚马逊Alexa举行投票的问题,但我们不想要做,每一个未定义的问题。

肯特:我们需要谈论的范围和关注我们今年CNA规则。我们如何想象这种情况适当,这样我们可以得到CNA规则更新?

克里斯:去年,我们专注于整个文档。今年,我们需要一个单独的会议,讨论我们需要解决的主要问题与更新。

肯特:我不知道什么是必须的影响。这需要共同努力。我们需要两个以上的会议必须确保他们参与。

行动:

公开讨论

肯特:我们站在CNA注册表的建议吗?乔治:我们使用稍微内部的新版本,但我们还没有做过任何与美国线规。肯特:你能列表后,我们意识到变化?

行动项目的总结

• 检查与克里斯·约翰逊在AWG宪章的状态(斜方)。
• 发送报告董事会CVE质量工作组(斜方)。
• Kurt Seifried云服务发送后续邮件。
• 电子邮件被发送到CNA列表关于CNA合作成立工作组(斜方)。
• 继续工作CNA培训(斜方)。
• 更新董事会章程根据帕斯卡推荐默(斜方)
• 斜方设置董事会会议讨论“离群值”或独特的技术漏洞和更新CNA和计数规则
• 得到的帖子放在一起CNA联络董事会提名和过程(电子邮件让人们感兴趣成为代表);一旦获得提名,董事会将投票决定谁是联络人(斜方)。
• 乔治Theall CNA注册发布信息建议更新

重大决策:

没有一个

附件:CVE董事会会议6月13日2018.多克斯
描述:CVE董事会会议6月13日2018.多克斯