2018年10月CVE - 3董事会会议总结

2018年10月CVE董事会会议- 3

董事会成员参加

马克•考克斯红帽公司。

威廉•考克斯集成电路制造有限公司委托新思科技有限公司

肯特Landfield迈克菲

斯科特•摩尔IBM

丽莎·奥尔森微软

Kurt Seifried,云安全联盟

孝中山教授,松下公司

肯•威廉姆斯CA技术

横切CVE团队的成员参加

乔集市

克里斯棺材

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

克里斯·约翰逊(NIST)

议程

下午2 - 15:介绍,从上次会议行动项——克里斯棺材

2:15 - 2:工作组

• 战略规划-肯特Landfield / Chris棺材
• 自动化-克里斯约翰逊/戴夫Waltermire
• 云安全联盟- Kurt Seifried / Chris棺材

2:30 - 2:45:CNA更新

·DWF——Kurt Seifried

·主教法冠——乔纳森埃文斯

·JPCERT——塔基•中山教授

2:45 - 3:00:板作业:如何宣传CVE标准给社区- - - - - -董事会讨论

3 - 3:范围涉及CVE的用户注册中心——Kurt Seifried

3 - 50分:CVE作业结束的生命和不支持的产品- - - - - -克里斯棺材

美东- 4:行动项目,总结——克里斯棺材

回顾上次会议行动项——2018年9月19日

• 之前的活动项目:马尼恩艺术向董事会汇报关于CVSS团体会议
  • 状态:没有完成
• 之前的活动项目:斯科特·摩尔通知斜方如何处理IBM研究员CNA的地位
  • 状态:完整的——要求并得到了一个新的块CVE id。
• 之前的活动项目:斜方添加安迪Balinsky云安全联盟工作组讨论CVE的服务
  • 状态:过程中
• 之前的活动项目:安迪Balinsky - Post消息/文档列表关于云安全联盟作为一个基本块。
  • 状态:完整的
• 之前的活动项目:主教法冠CSA添加到定期的董事会会议议程
  • 状态:完整的
• 之前的活动项目:Kurt Seifried提供的参与CVE用户注册表项目,建立需求开始会议。
  • 状态:没有完成
• 之前的活动项目:斜方(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程。
  • 状态:过程中
• 之前的活动项目:发送报告董事会CVE质量工作组(斜方)
  • 状态:没有完成

工作小组更新

• 战略规划-肯特Landfield / Chris棺材
  • 周一会议,2018年10月1日。集团继续讨论根CNAs的角色和责任。继续开发其他问题来帮助识别角色和职责
  • 斜方行动项目更新问卷我们发送到区域为根CNA和发送SPWG输入/反馈。
• 自动化-克里斯约翰逊/戴夫Waltermire
  • 周一会议,2018年10月1日。的涂鸦民意调查到SWG设置当前需求的开球会议为每个项目。
  • 克里斯·约翰逊解释说他正在寻找某人SPWG帮助促进服务文档的初始走通,交流远景和让团队的速度。他也是发展中需求用例锅炉板,所以我们可以编写要求。
  • 库尔特报道努力改变的JSON格式的用户注册中心和讨论更多关于范围声明(添加主题这一议程项目)
  • 克里斯的棺材建议初稿的资格审查认证和授权文档,将分布式SPWG在接下来的几天里。
• 云安全联盟- Kurt Seifried / Chris棺材
  • 集团经过计算和包含规则,审核应该和不应该被改变。同意更改的组作为小可能是目标,而不是有特殊规定(即服务、物联网、医疗设备等)。
  • 小组讨论如何处理IN3.0、修改或删除CN2.1,争端解决和供应商讨论表现不好。
  • 参与服务CNA只选择开始。
  • 该组织仍然需要确定它将是有益的和有云服务漏洞识别一个可行的解决方案。

CNA更新

• DWF——Kurt Seifried
  • GitHub是CNA为自己的软件,他们想成为一个社区生活在GitHub CNA内容。GitHub想确定安全问题/缺陷报告并能够在他们的基础设施并修复漏洞。
  • 库尔特解释说,他正在与GitHub研发路线图上社区CNA过程将是什么样子的。有很多更多的细节之前,能够向董事会提交。
  • 库尔特解释GitHub的想法3^{理查德·道金斯}方必须为供应商是给供应商第一次拒绝的权利。
  • GitHub是求职信给董事会。
  • 董事会表示担忧被微软收购GitHub如何产生重大影响这一过程
    • 库尔特是GitHub POC接触,向他们提供联系信息丽莎·奥尔森(微软)。
• 主教法冠——乔纳森埃文斯
  • 没有更新
• JPCERT——塔基•中山教授
  • 没有更新,但塔基•办公室访问了解员工的营业额如何影响了他们的资源拓展和作为根CNA履行承诺的能力。JPCERT目前人手不足,无法在CNAs,但他们可以报告cf。
  • 小组讨论根CNA暂时改变他们的地位。
  • 塔基•有行动项目跟进JPCERT临时状态更改。

公开讨论项目

• 板作业:如何宣传CVE标准给社区- - - - - -董事会讨论

• 克里斯棺材建议包括基本信息、数量的CVE ID和填充,平均时间储备,填充,等等。
• 肯特建议删除CNA具体图形和使用幻灯片的CVE CVE的季度指标报告作为基线指标。
• 董事会将回顾第三季度报告卡(排除CNA特定信息)在接下来的会议,10月17日。

• 范围涉及CVE的用户注册中心——Kurt Seifried

o 见下文

• CVE作业结束生命的和不支持的产品- - - - - -克里斯棺材

• 库尔特在EOL范围问题上解释了他的观点:
  • 如果CNA的具体范围包括EOL产品,如果他们不解释清楚,他们必须忍受的后果。
  • 如果必须选择不参与,然后升级到根CNA的问题。
• 克里斯棺材解释说,将有利于CNAs的例子是什么好的范围比坏的范围。
• 小组讨论的范围应该包括一个周转时间供应商CNA需要应对父母CNA,当时间到了,父CNA报告CVE。
• 乔纳森解释说,斜方应披露前进处理EOL的政策问题,这显然CNAs斜方如何处理它们。
• 库尔特希望必须明确声明,终点是覆盖范围或不覆盖。集团同意,供应商很难保持EOL列表、保持电流。
  • 库尔特解释说,不是所有的供应商回到他是否EOL产品。
• 丽莎Olson建议必须提醒父母CNA如果他们选择不CVE任务。
• 库尔特解释说,他希望供应商来确定他们的参与。

克里斯问董事会以下问题:

1. 它是父母的责任CNA /斜方如果供应商CNA的范围是明确(EOL的范围)、斜方应该回到供应商CNA,让他们知道我们正在创造的CVE EOL产品?

§ 集团同意向卖方CNA不会是必要的,如果超出范围的。然而,如果说一切都覆盖范围,然后供应商CNA决定如果他们想覆盖它,否则它会升级到父CNA。

2. 每个人都同意CVE应该分配如果EOL产品和有效的漏洞吗?
   • 库尔特澄清应该停产,目前状态被使用的地方(比如昨天分配EOL的东西)?

• 克里斯棺材问集团如何确定仍在使用和我们如何决定它如果有人滥用?

3. 时创建一个新的标签应该EOL产品?

• 克里斯棺材解释说,产品变化从生活中或结束的生命常状态,让这个迄今为止,将难以管理。
• 进一步讨论生物问题,随后开发语言来解决这个问题。

会议行动项

• 塔基•会见JPCERT 10月下旬,讨论他们的根CNA的地位
• 斜方起草CNA规则关于EOL范围问题。
• 斜方起草CNA规则有关注意字段JSON。
• 斜方创建第三季度报告卡删除CNA-specific幻灯片的幻灯片
• 建立与董事会审查CVE标准的电话卡片,宣传社区第三季度财报CNA-specific幻灯片移除
• 马尼恩艺术向董事会汇报关于CVSS团体会议
• Kurt Seifried提供的参与CVE用户注册表项目,建立需求开始会议
• 发送报告董事会CVE质量工作组(斜方)

董事会的决定

· 没有一个

未来讨论的话题

1. 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
2. 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
3. CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
   1. 建立一个excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。

o 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。

o 行动项目——CNA规则需要更新,以反映这种新方法。

5)消除重复CVE作业的讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o 乔纳森说重复的CVE作业发生DWF的大多数。

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责。

o 建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。

7) 根必须有效地实施

o 需要进一步讨论关于如何更有效地实施根CNAs。

o 额外讨论斜接在大根的作用是必要的。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置。

• 它可以自动的吗?
8. CVSS的未来
   • 分配多个CVSS单个CVE。
   • 希尔在CVSS的讨论。

附件:2018年CVE_Board_Meeting_Summary-3_October _final.pdf
描述:2018年CVE_Board_Meeting_Summary-3_October _final.pdf