(日期:][日期下][线程:][线程下][日期索引][线程索引]

Re: CVE董事会会议总结——2018年7月25日

如果我们不能总是参加电话,你能发送一条消息,该消息带有录音到私人列表的链接。我听电话当我可以访问的记录和录音的目的。

谢谢,谢谢,谢谢,谢谢,谢谢!,Спасибо!,谢谢!,ありがとう,धन्यवाद!

- - -

肯特Landfield

+ 1.817.637.8026

kent_landfield@mcafee.com

来自:“棺材里,克里斯”< ccoffin@mitre.org >
日期:星期二,2018年7月31日12点
:CVE编委会讨论< cve-editorial-board-list@mitre.org >
主题:CVE董事会会议总结——2018年7月25日

谨慎:外部邮件。不要点击链接或打开附件,除非你认识到发送方和知道的内容是安全的。

CVE董事会会议2018年7月25日

董事会成员参加

安迪Balinski(思科)

威廉·考克斯(黑鸭子软件)

贝弗利雀(联想)

斯科特·劳勒(LP3)

马尼恩的艺术(CERT-CC)

斯科特·摩尔(IBM)

Kurt Seifried (RedHat)

塔基•中山教授(松下)

横切CVE团队的成员参加

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

其他与会者

克里斯·约翰逊(NIST)

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作小组

· 战略规划——Kent Landfield

· 自动化——克里斯·约翰逊,戴夫Waltermire

2:30 - 2:45:CNA更新

· DWF——Kurt Seifried

· 斜方——乔纳森埃文斯

· JPCERT——塔基•中山教授

2:45 - 3:15:2018年第二季度项目审查和CNA报告卡-克里斯棺材

3:15 - 50分:公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

  • 之前的活动项目:斜方设置回购在GitHub CVE用户注册中心服务项目。
    • 状态:完成
  • 之前的活动项目:斜方发送电子邮件为CSA云服务工作小组委员会。
    • 状态:完成
  • 之前的活动项目:董事会同意离开一周开放进一步讨论丽莎奥尔森董事会提名之前调用一个投票。
    • 状态:我们可以开始投票了吗?没有人叫反对开始投票
  • 之前的活动项目:发送报告董事会CVE质量工作组(斜方)。
    • 状态:没有完成

议程项目

委员会工作小组

战略规划工作小组(Chris棺材/肯特Landfield)

问题:谈到服务文档的当前状态,主要是完成了。等待最后的反馈和审查从SPWG成员和椅子。

行动:N /一个

董事会决策:N /一个

自动化工作小组(克里斯·约翰逊/戴夫Waltermire)

问题:周一会面,讨论了几个话题,包括使用2位和3位数字为ISO语言代码CVE条目和需要达成协议关于代码是可取的。一些场景介绍了紧急问题,包括出版的cf和工作流可能会发生这种能力。还讨论了NVD CPE作业过程,什么数据用于工艺cp(容器数据或供应商来源)将调查的过程。集团还谈到一起为第三阶段试验计划;有一些活动应该发生的事情,还没有历史追随阶段需要解决以下吗?快速在作战状态服务走出SPWG。Kurt Seifried提供一个更新的一些活动中得到了CVE用户注册表项目。

斯科特•摩尔表示,他无法通过Skype连接所以克里斯棺材将下次会议之前。

库尔特表示,有规则如何摄取数据(CVE指南);与语言问题他看着ISO标准,他选择了更新的3位数,因为它支持更多的语言。但是我们有别人如何发布数据的规则吗?CVE生态系统内,有很多人消费数据和结集。他想确认没有规则/指导人们如何发布的数据(例如,更改日期格式)。克里斯棺材说他不知道有任何正式的指导方针后,只要他们使用条款。库尔特想知道如果我们需要国家地方最初CVE主列表的格式规范的来源是横切CVE网站,但数据可能略有改变如果从不同的来源。

行动:

董事会决策:N /一个

CNA更新

DWF (Kurt Seifried)

状态:致力于铸造一些新的区域和其中一个发现他必须解决一些问题。试图简化这个过程。

问题讨论:N /一个

行动:N /一个

斜方(CVE团队)

状态:有一些人请求成为必须:

  • MongoDB今早(CNA培训)
  • Odoo(培训定于星期五)
  • 江森自控要求关于新员工培训的一般过程的更多信息
  • 菲律宾证书
  • 一个开放的组织被送到DWF来源

讨论:N /一个

行动:没有一个

JPCERT

状态:没有报道。

2018年第二季度项目审查和CNA报告卡(Chris棺材)

讨论:讨论了一般主题和覆盖的一些突出的数据2nd季度的2018年。有保留的数量减少40%,但公众(RBP) CVE id。的平均时间填充有点过去季度上升,但是这是由于多个CNAs填充CVE积压的条目。

行动:在闲暇时董事会审查并提供意见

公开讨论

关于公开披露,但无人居住的CVE id:我们如何激励必须处理他们的订单吗?我们有24小时规则获取信息指导CVE横切一次ID发表。下次他们要求id,也许我们可以要求他们首先给我们积压的信息。而不是给他们另一组id,我们要求他们提供一个从他们的backlog条目的数量,然后我们会给他们(即相同数量的新CVE id。一对一贸易)。科特认为将从一些必须引起非常消极的反应,但它可能需要解决这个问题。

让库尔特看看CVE的用户注册中心章程:作为项目第一个自动化工作组主席,库尔特将审查合同是否满足他的需要。库尔特编辑文件的自动化WG CVE注册CVE用户注册表文件是有意义的。他会更新文档引用。

主教法冠是否支持建立一个公开讨论CVE用户注册表的列表吗?是的,这似乎是合理的。

行动项目的总结

  • 横切(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程(关于包容)
  • CNA协调小组需要一个chair-MITRE将开始启动的对话来识别一把椅子
  • 斜方发送报告董事会关于删除两个没有响应必须确认之前
  • 库尔特内包括项目特许CVE用户注册中心存储库

重大决策:

  • 斜方必须将创建一个消息,让他们知道如何改变政策的RBP cf处理。如果CNA RBP cf一周以上,他们必须提交的细节之前获得额外的新CVE id后作业。如果他们的RBP列表比较大,我们可以提供新的CVE id在一对一的基础上。换句话说,对于每个RBP CVE他们填充,我们将为他们提供一个新的CVE ID。
  • 两个没有响应CNAs CNA状态删除。这些始终没有活跃在过去12个月中,未能回应最近的沟通努力。

页面最后更新或审查:2018年7月31日