(日期:][下一个日期][线程:][线程下][日期索引][线程索引]

CVE董事会会议总结——2018年9月19日

来:CVE编委会讨论<cve-editorial-board-list@mitre.org>
主题:CVE董事会会议总结——2018年9月19日
从:“棺材,克里斯" <ccoffin@mitre.org>
日期2:星期二,2018年10月15:22:58 -0400
接收语言:en - us
Authentication-results:mitre.org;dkim = none(消息没有签署)header.d =没有;mitre.org;dmarc =没有行动=没有header.from = mitre.org;
交货日期:2018年10月2 16:02:56星期二
Thread-index:AdRahSWU31Cfh7JRQ5aec4uqyJZ30A = =
Thread-topic:CVE董事会会议总结——2018年9月19日

CVE董事会会议——2018年9月19日

董事会成员参加

安迪•Balinsky思科系统公司

威廉•考克斯集成电路制造有限公司委托新思科技有限公司

肯特Landfield迈克菲

斯科特•劳勒LP3

马尼恩的艺术,CERT / CC(卡内基梅隆大学软件工程研究所)

贝弗利·米勒,联想集团有限公司

斯科特•摩尔IBM

丽莎·奥尔森微软

Kurt Seifried,云安全联盟

大卫•Waltermire国家标准与技术研究院(NIST)

横切CVE团队的成员参加

乔集市

克里斯棺材

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

没有一个

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作小组

·战略计划-肯特Landfield / Chris棺材

·自动化-克里斯约翰逊/戴夫Waltermire

2:30 - 2:45:CNA更新

·DWF——Kurt Seifried

·斜方——乔纳森埃文斯

·JPCERT——塔基•中山教授

2:45 - 50分:公开讨论

美东- 4点:行动项目,总结——克里斯棺材

回顾上次会议行动项- 5 2018年9月

之前的活动项目:横切(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程(关于包容)。

状态:没有完成。

之前的活动项目:CNA规则discussion-MITRE将开始整理东西的列表,讨论在跟进电话。
- 状态:完成。
之前的活动项目:发送报告董事会CVE质量工作组(斜方)。
- 状态:没有完成。

之前的活动项目:继续讨论定义产品类型,定义值,确定它是否可以自动化,努力参与这样做(标签)。
- 状态:搬到未来的讨论列表。
之前的活动项目:分发斜方一旦向国会递交国会的幻灯片。
- 状态:反应的进展。
之前的活动项目:研究员CNAs -新CNA保持沟通。需要做出解释,澄清关于角色和职责之前新CNA的证实。
- 状态:在进步。
之前的活动项目:接触HackerOne关于应对CNA查询。

o 状态:完成了。由于自动化的最初反应是迟来的一级反应系统。为未来的通信HackerOne表明私人CNA的电子邮件

o 我们将探讨的可能性使用握手主机CNA邮件列表,必须维护它。

之前的活动项目:斜方提供度量研究人员的数量必须与供应商CNAs的数量。
- 状态:在进步。戴夫和库尔特(Jonathan发送)
- 行动:斜方发送指标斯科特·摩尔。
之前的活动项目:Kurt Seifried提供的参与CVE用户注册表项目,建立需求开始会议。
- 状态:没有完成。
之前的活动项目:横切CNA集团报告发送电子邮件征求参与自动化工作小组项目。
- 状态:没有完成。
之前的活动项目:斜方分发CVE根战略规划工作组讨论幻灯片。
- 状态:完整的。

工作小组更新

· 战略规划-肯特Landfield / Chris棺材

o 启动会议将2018年9月20日下午4点- 5点(美国东部时间)

· 自动化-克里斯约翰逊/戴夫Waltermire

o 会议周一9月17日举行^th讨论项目和他们的地位。

o 将设置为启动会议评审的高级需求草案由战略工作组。

o 库尔特要求的“行为准则”项目,因为它们是开放CNA的等等。

CNA更新

· DWF——Kurt Seifried

没有更新

· 主教法冠——乔纳森埃文斯

o 菲律宾网络安全证书是一个新的中央社,想成为一个根CNA。

o HCL请求中央社。

上周会见了CNCert被根CNA的要求。需要安排训练的CVE规则。

o IBM要求有其X-Force红色团队成为一个研究员CNA斜方建议IBM研究员CNAs目前搁置了。委员会(Kent)认为,IBM可以信任分配的现有IBM CNA的CVE id。

o 甲骨文更新他们的生活范围,以便结束产品不再被覆盖。

o 中兴计划更新他们的范围,结束生命的产品将不做介绍。

· JPCERT塔基•中山教授(而不是在调用)

公开讨论项目

结束生命的产品讨论

问题是问“如何CNA通知横切,他们将不会分配的CVE结束生命的产品?”
供应商应该如何处理的产品吗?
- 建议发出了CVE但不发布修复;然而,这取决于CVE的供应商和控制信息发布过程是使用这种方法的风险。
如果供应商更新范围排除淘汰的产品,他们应该提供文档解释哪些产品/不支持吗?

更新的山上简报

· 克里斯棺材上提供了一个更新回应国会的信关于CVE资金和报道收到8月底。横切会见了众议院能源和商业委员会成员在华盛顿,华盛顿会议非常顺利;他们是支持更改CVE板和斜方一直在他们赞赏的程序和更新。他们理解我们的努力在发展程序和生产cf更快,他们期待的变化管理,操作,和基础设施和共享指标前进。他们认为我们有一个伟大的故事,他们欣赏beenput在努力工作。委员会听到来自社区的其他人和我们的赞助商表示支持和程序是朝什么方向走。建议提供持续的资金支持项目的形式行项目预算稳定基金。CVE标准应该与公众分享。在场的工作人员中间有困惑关于CVE之间的角色和职责,NVD, CERT。

潜在的新董事会成员

马尼恩艺术建议他将提交一个新的董事会成员提名。
- Chris建议与董事会成员提名董事会进行采访。

CVSS(普通危险得分系统)

问题:目前一个假设每个CVE有一个CVSS分数。然而,不同的产品有不同的分数,如一个可能实现沙盒,而其他没有。它提出了CVE分配规则被改变分配id /产品/弱点。
- CVE的CVSS,有担心没有CVSS分数来表示各种CVE问题。
- 小组讨论如何使用CVSS得分来解决这些情况。
- 这里的主要问题是只有一个一对一的映射,NVD。这是一个对话与NVD需要帮助解决这种情况。
- CVE JSON格式并允许一个以上的CVSS分数分配给单个CVE
CVSS团体会议将于9月21日^圣进一步讨论这个问题。
- 马尼恩的艺术将从这次会议结果报告在下次董事会会议。

会议行动项

· 董事会的作业:

把想法应该显示在哪个CVE标准CVE网站。
考虑如何最佳广告CVE标准社区。
- 如CVE分配,CVE出版,天/月的发布等。

· 马尼恩艺术向董事会汇报关于CVSS团体会议。

· 斯科特·摩尔通知斜方如何处理IBM研究员CNA的地位

· 克里斯棺材——添加安迪Balinsky云安全联盟工作组讨论CVE的服务。

· 安迪Balinsky - Post消息/文档列表关于云安全联盟作为一个基本块。

· 克里斯棺材- CSA添加到定期的董事会会议议程(读出从最后一个调用)。

· 斜方(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程。

· 发送报告董事会CVE质量工作组(斜方)。

董事会的决定

· 斯科特·摩尔(IBM)后将被允许使用IBM CVE id或创建另一个IBM CNA IBM研究员漏洞。

未来讨论的话题

我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
1. 建立一个excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。

o 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。

o 行动项目——CNA规则需要更新,以反映这种新方法。

5)消除重复CVE作业的讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o Johnathan解释说,重复的CVE作业发生DWF的大多数。

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责。

o 建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。

7) 根必须有效地实施

o 需要进一步讨论关于如何更有效地实施根CNAs。

o 额外讨论斜接在大根的作用是必要的。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置。

它可以自动的吗?

CVSS的未来
- 分配多个CVSS单个CVE。
- 希尔在CVSS的讨论。

会议记录可用:

https://handshake.mitre.org/file/group/15069086/all # 15213189

附件:CVE董事会会议9月19日2018.多克斯
描述:CVE董事会会议9月19日2018.多克斯