CVE董事会会议总结,2018年8月22日

CVE董事会会议2018年8月22日

董事会成员参加

安迪Balinsky(思科系统有限公司)

威廉·考克斯(Synopsys对此,Inc .)

肯特Landfield (McAfee)

斯科特·劳勒(LP3)

斯科特·摩尔(IBM)

丽莎·奥尔森(微软)

Kurt Seifried(云安全联盟)

塔基•中山教授(松下)

戴夫Waltermire (NIST)

横切CVE团队的成员参加

克里斯棺材

克里斯汀的交易

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

克里斯·约翰逊(NIST)

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作小组

· 战略计划-肯特Landfield / Chris棺材

· 自动化-克里斯约翰逊/戴夫Waltermire

2:30 - 2:45:CNA更新

· DWF——Kurt Seifried

· 斜方——乔纳森埃文斯

· JPCERT——塔基•中山教授

2:45 - 3:15:聪明的cf讨论合同

3:15 - 50分:公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项

• 之前的活动项目:横切(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程(关于包容)

• 状态:没有完成

• 之前的活动项目:CNA规则discussion-MITRE将开始整理东西的列表,讨论在跟进电话
  • 状态:没有完成

• 之前的活动项目:CNA协调小组需要一个chair-MITRE将开始启动的对话来识别一把椅子
  • 状态:CNA协调小组启动优先,本周应该开始。
• 之前的活动项目:发送报告董事会CVE质量工作组(斜方)。
  • 状态:没有完成
• 之前的活动项目:NIST (Chris J)发送任何重要的话题从8月6日董事会名单自动化工作组会谈
  • 状态:没有完成

议程项目

委员会工作小组

战略规划工作小组(Chris棺材/肯特Landfield)

问题:需要重点是如何推进一些项目的背后,站着新服务文档的草稿,CSA协调工作组。克里斯Levendis和克里斯棺材要CVE JSON草案提交资格审查和验证服务文档。谈到未来的会议和持续需要将会议的议程在一起。

行动:N /一个

董事会决策:N /一个

自动化工作小组(克里斯·约翰逊/戴夫Waltermire)

问题:状态在NVD 8月13日^th原谅所有的CVE数据割接,直接从Git。发生了切换。据我所知,所有在这方面运行良好。也鼓励在场的人让自己熟悉服务文档从SPWG下来。肯特:切换导致更快的处理在NIST还是差不多?克里斯·J:现在不知道答案。

行动:发出邮件,CNA列表对某人主持项目组CVE ID分配服务

董事会决策:N /一个

CNA更新

DWF (Kurt Seifried)

状态:没有报告

问题讨论:N /一个

行动:N /一个

斜方(CVE团队)

状态:亚美亚和Odoo新美国安全。Appthority CNA将很快公布。培训是上周进行的与江森自控和同僚菲律宾CERT已要求中央社。中国CNCERT根CNA问道。我们有一些调度问题,因为一些会议。

开放的AI系统安全联盟已要求中央社。看起来他们只覆盖开源产品,所以我可能会提到他们DWF,但他们也是中国组织。所有的内容是中文的。他们想知道他们需要一个英文网站,和一个英文版本的披露政策,等等。库:如果只是在中国使用,那么他们可以把它在中国。如果他们的产品是使用中国以外的,用英语就好了。他们想成为供应商和研究员。他们也问他们是否可以在Android报告bug或Linux和类似的产品。克里斯·C:他们意识到任何他们服从我们CVE必须用英语吗?Jonathan:我还没有变得那么远。肯特:我们需要一个基本语言CVE这样理解全球各地。整个问题的语言需要一个单独的讨论。库:我担心的是1)确保迫使英语的价值是值得的,2)他们使用谷歌翻译可能不准确。克里斯·C:如果我们需要英文的描述,我们也需要引用在英语吗?普遍的共识是,谷歌翻译是足够好为这个目的(描述/引用)。库:固有的JSON规范已经是一种语言能力。肯特:我们需要确保本地化行业的理解。需要创建一个文档关于这个话题。

乔纳森:说CNCERT根CNA。这个新组织会在CNCERT或DWF吗?库:我不讲中文,所以我认为这对他们来说是有意义的CNCERT之下。肯特:我们需要找出他们是谁(开放AI系统安全联盟),他们的范围,等等。他们可能是一个更好的适合CNCERT之下,但我们需要计算出来。

塔基•说他有点小心CNCERT因为他们有时并不敏感,所以要小心。

克里斯·C:这个问题是否属于你,因为他们公开来源的范围冲突,对吧?库尔特:我要把关于这个词因为供应商HackerOne新闻问题,他们是中央社。不想踩在他们的脚趾,但他们没有做CVE。将解决CVE的一部分用户注册表,迫使人们定义范围。范围冲突问题已经存在并不是太大的问题,只要当人们分配一个CVE他们及时发布它。

戴夫:但是HackerOne的范围并不是开源的。媒体库:但词是他们的客户,所以他们属于范围。戴夫:每个CNA应该有一个出版,定义范围。

有很多讨论的事实HackerOne覆盖词出版社,他们超出范围(技术)。字媒体HackerOne是开放源代码的,一个客户端。因此,尽管他们都是开源的,或许应该经过DWF CVE作业,他们会通过HackerOne因为他们是一个客户端。

肯特:我们已经讨论过这个之前,我们需要重组根CNAs的层次结构。这将有助于减少歧义。在某些情况下,我们都不能让它消失。

库:有80 + CNAs;至少60人在GitHub的东西,这意味着他们在开源的东西。戴夫:需要做出一些决定对他们的下降。库尔特:为什么他们只需要落入一个根?戴夫:最担心的有一个清晰的管理链就是CNA应该监督。克里斯·C:我们需要更具体的范围语句定义了CVE用户注册表是一种我们将到达那里。

乔纳森:在我的清单上所要做的是创建一个指导性文件如何创建一个范围声明。成为CNA presentation-there是一个幻灯片如何定义您的范围:http://cveproject.github.io/docs/cna/Becoming%20a%20CNA.pptx。

CVE用户注册中心讨论范围:产品/服务;严重程度和/或类型的缺陷;内部(公共和/或私人)和外部(公共和/或私人);的报道结束生命的产品。

克里斯·C和乔纳森将讨论流程添加人员CNAs(等待Appthority新员工培训)。戴夫/肯特对添加人员必须表示担忧。大卫很高兴参与另一种调用添加人员必须进一步讨论这个话题。

肯特想知道的身份必须被移除缺乏沟通。

讨论:N /一个

行动:关于如何处理语言问题拓展到社区。丽莎·奥尔森可以寄一份文件我们可以使用作为一个起点。

研究员必须安排一个单独的讨论。

JPCERT(塔基•中山教授)

状态:没有报道。

聪明的cf讨论合同

库尔特和帕斯卡在船上继续创建cf智能合同漏洞的情况下;有人有其他的想法吗?我们应该继续为智能分配cf合同漏洞?库:很多聪明的合同作业图灵完成。我们已经有先例的图灵完全的脚本语言和人们可以采取行动也有与这些聪明的合同(不使用或避免他们在其他方面)。这是一个新的空间很多搬家公司。59%的损耗率。戴夫:这是我们应该覆盖,我同意。肯特:我还没有机会去回顾它。

库:我不希望一百万年无聊智能筛选最终合同漏洞。戴维我们以前讨论过这个问题。需要有一种方法来对缺陷进行分类,这样可以解决无聊的。我们需要重新访问漏洞的分类/描述。库:希望更好的定义范围将解决大部分的问题。想要避免让人们手动标记数据。

下面的讨论导致公开讨论。

公开讨论

我们需要标签的产品和产品清单,以便cf包括标签。库:我们还需要添加标签和处理那些拒绝添加它们。

他们确实的工作添加(标签)?NVD吗?斜接吗?克里斯·C戴夫:这应该vulntology所做的吗?戴夫:vulntology已经描述的本质脆弱性,不是脆弱的产品的性质。

肯特:vulntology的状态是什么?戴夫:我们仍在一起一个初稿。我想做的是开始分享网站(扩大审查);似乎是董事会将是一个不错的起点。发送戴夫电子邮件如果你有兴趣看看。

克里斯·C:只要一个动作项目开始在其他话题,我们需要提出一个分类列表类型,有意义的标记。库:难道不是更有意义的社区来吗?戴夫:我们需要考虑目标受众和最好的办法让他们订婚了。库:其他的事情是,不同的行业有不同的含义相同的词。我们需要考虑如何让机器做这个。戴夫:我们想要这样做的原因是,我们经常说当我们一直谈论各种新类型的覆盖CVE漏洞,我们担心,选择那些会导致的膨胀。恐怕我们做出的决定是建立在技术问题,可以解决一些人类或机器标记过程,可以帮助我们使CVE更相关。但是我们不想这样做,因为它的影响(例如,服务漏洞)。库尔特是支持标签如果我们可以自动化。

库尔特提出SPWG:试图寻找一个好的,简单,简洁的营销信息CVE使它更合乎口味。克里斯·C:幻灯片的CVE 101文档和设置与董事会和共享应该足够了。库尔特想要一个简单的名字,已经得到重点了。克里斯·C说CVE 101或一些它应该为他工作的一部分,如果没有,我们需要重新访问该文档。

行动项目的总结

• 横切(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程(关于包容)
• CNA规则discussion-MITRE将开始整理东西的列表,讨论在跟进电话
• 发送报告董事会CVE质量工作组(斜方)
• 丽莎·奥尔森调查和CNA分享一篇论文作为起点的工作范围
• 斜方联系HackerOne询问WordPress脆弱性和库尔特联系
• 建立另一个讨论CNA Appthority作为研究
• 继续讨论定义产品类型,定义值,确定它是否可以自动化,努力参与这样做(标签)
• 营销信息CVE-send CVE 101组和使用为起点(不同的观众可能需要定制)

重大决策:

没有一个

会议记录可用:

https://handshake.mitre.org/file/group/15069086/all # 15209000

附件:CVE董事会会议8月22日2018.多克斯
描述:CVE董事会会议8月22日2018.多克斯