2018年9月CVE - 5董事会会议总结

CVE董事会会议2018年9月5日

董事会成员参加

威廉•考克斯集成电路制造有限公司委托新思科技有限公司

肯特Landfield迈克菲

马尼恩的艺术,CERT / CC(卡内基梅隆大学软件工程研究所)

帕斯卡尔•莫尼耶普渡大学出现/

Kurt Seifried,云安全联盟

大卫•Waltermire国家标准与技术研究院(NIST)

横切CVE团队的成员参加

乔集市

克里斯棺材

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

克里斯·约翰逊(NIST)

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作小组

· 战略计划-肯特Landfield / Chris棺材

· 自动化-克里斯约翰逊/戴夫Waltermire

2:30 - 2:45:CNA更新

· DWF——Kurt Seifried

· 斜方——乔纳森埃文斯

· JPCERT——塔基•中山教授

2:45 - 50分:公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项,2018年8月22日

1. 之前的活动项目:横切(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程(关于包容)。
   • 状态:没有完成
2. 之前的活动项目:CNA规则discussion-MITRE将开始整理东西的列表,讨论在跟进电话。
   • 状态:没有完成
3. 之前的活动项目:发送报告董事会CVE质量工作组(斜方)。
   • 状态:没有完成
4. 之前的活动项目:丽莎·奥尔森(微软)调查和CNA分享一篇论文作为起点的工作范围。
   • 更新提供文档:丽莎9/5/18 12:11pm丽莎的邮件归档https://cve.mitre.org/data/board/archives/2018-09/msg00001.html
5. 之前的活动项目:斜方联系HackerOne询问WordPress脆弱性和Kurt Seifried (CSA)联系。
   • 状态:告诉库尔特,他应该直接接触HackerOne并让我们知道如果他有任何问题。
   • 更新:库尔特解释说,他并没有没有收到响应从一线人员和似乎是确定HackerOne WordPress是一个客户/产品。
     • 有一个冗长的讨论造成这一行动项对根和CNA范围和重复的CVE作业,见下面的细节(主题4至6)。

· 集团同意,库尔特将分配一个CVE漏洞。

6. 之前的活动项目:建立另一个讨论Appthority CNA研究员。
   • 状态:完成了。Appthority清除成为CVE CNA。我们将有另一个呼吁Appthority和一些董事会成员进一步讨论。
   • 关注:该组织表示担忧,因为他们被认为是研究员CNA参考研究员CNA讨论以下细节(主题6)。
7. 之前的活动项目:继续讨论定义产品类型,定义值,确定它是否可以自动化,努力参与这样做(标签)。
   • 状态:没有完成
8. 之前的活动项目:营销信息CVE-send CVE 101组和使用为起点(可能需要定制不同的观众)。

· 状态:没有完成

1. 战略计划-肯特Landfield / Chris棺材

• 状态:没有更新/工作小组

2. 自动化-克里斯约翰逊/戴夫Waltermire

• 状态:没有更新/工作小组
• 从董事会成员的言论:
  • 肯特Landfield解释我们需要自动化工作小组,所以我们需要完成需求文档,所以我们可以得到基础设施到位,确定我们要做这项工作,所以行业也可以贡献。
  • 克里斯·约翰逊——电子邮件通讯贝弗利·米勒(雀),她表示有兴趣主要CVE ID分配服务工作。后续转换与贝弗利下周将和下次会议17^th9月讨论CVE ID分配和用户注册表服务文档。
    • 肯特还说,微软也想参加。
    • 克里斯·c·解释说,库尔特主持CVE的用户注册中心,贝弗利是希望将椅子CVE ID分配。
    • 建议肯特- SPWG导致需求文档建议走过工作组参与者通过服务文档,澄清意图和回答问题。

CNA更新

1. DWF——Kurt Seifried
   • 没有一个
2. 斜方——乔纳森埃文斯
   • 新的CNA请求-独立安全评估者要求CNA研究员。
   • 台湾证书回到美国,经过几个月的活动。
3. JPCERT——塔基•中山教授
   • 没有更新

会议行动项

1. 克里斯棺材-分发CVE 101幻灯片
2. 克里斯Levendis——分发斜方一旦向国会递交国会的幻灯片。
3. 克里斯棺材新CNA -研究员必须沟通。需要做出解释,澄清关于角色和职责之前新CNA的证实。
4. 乔祈神保佑——接触HackerOne前门为什么不工作。
5. 乔纳森埃文斯-指标多少研究员CNAs相比,供应商必须
6. Kurt Seifried——提供的名字那些参与CVE用户注册表项目,建立需求开始会议。
7. 克里斯棺材——CNA集团报告发送电子邮件征求参与自动化工作小组项目。
8. 克里斯Levendis / Chris棺材-分发CVE根向董事会讨论的幻灯片。

董事会的决定

1。 董事会批准了Kurt Seifried (CSA, DWF) CVE ID分配给WordPress的弱点,他试图与HackerOne协调。

未来讨论的话题

1. 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
2. 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
3. CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
   1. 建立一个excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则状态——应该响应国家必须的规则,但不提供一个特定的时间框架。国家规定如果你要分配CVE漏洞不是在你的一个产品,你应该联系供应商。供应商应该做出决定。

o 新方法必须和根源——一个给定的根有一个范围,范围被委托给一个CNA的一部分(即产品或研究领域。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配作为最后的手段。

o 行动项目——CNA规则需要更新,以反映这种新方法

5)消除重复CVE任务讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE任务。艺术解释说,在开放的沟通与其他必须做CVE作业时,问谁有任何一个要求任何人CVE的保持这CNA级别(而不是在根/初级水平)。他补充说这额外的操作步骤将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o Johnathan解释说,重复的CVE作业发生DWF的大多数

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNA直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责

o 建议5:需要解决研究者CNA模棱两可的范围问题之前我们签约研究员必须。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNAs模棱两可的范围问题。

7) 根必须有效地实施

o 进一步讨论如何更有效地实施根CNAs。

o 斜接的作用实施的根源。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表(即用于分类CVE条目。、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置

• 它可以自动的吗?

会议记录可用:

https://handshake.mitre.org/file/group/15069086/all # 15210954

附件:CVE董事会5 9月2018.多克斯
描述:CVE董事会5 9月2018.多克斯