CVE董事会会议总结——2018年10月17日

CVE董事会会议,2018年10月17日

董事会成员参加

安迪•Balinsky思科系统公司

马克•考克斯红帽公司。

威廉•考克斯集成电路制造有限公司委托新思科技有限公司

马尼恩的艺术,CERT / CC(卡内基梅隆大学软件工程研究所)

贝弗利·米勒,联想集团有限公司

斯科特•摩尔IBM

丽莎·奥尔森微软

横切CVE团队的成员参加

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

克里斯·约翰逊(国家科学与技术研究院(NIST)

议程

议程

两点- 2:15:介绍,从上次会议行动项——乔祈神保佑

2:15 - 2:工作组

• 战略规划——没有本周会议。
• 自动化——克里斯·约翰逊
• 云安全联盟——Kurt Seifried

2:30 - 2:45:CNA更新

• DWF——Kurt Seifried
• 主教法冠——乔纳森埃文斯
• JPCERT——塔基•中山教授

2:45 - 3:15:CVE第三季度报告卡的幻灯片回顾- - - - - -董事会讨论

3 - 50分:公开讨论- - - - - -董事会

美东- 4:行动项目,总结

审查行动项目的董事会会议10月3日举行,2018年

• 之前的活动项目:马尼恩艺术向董事会汇报关于CVSS团体会议
  • 状态:马尼恩艺术提供了一个更新:
    • Facebook是黑客,他们提交3详细漏洞比CERT-CC有史以来服务漏洞。
    • CVSS团体讨论如果/如何得分和如何做链接。有CVE id服务吗?
    • 有一个讨论是否超过一个CVSS分数可以分配给一个CVE ID。
• 之前的活动项目:斜方创建第三季度报告卡删除CNA-specific幻灯片的幻灯片
  • 状态:在过程;第三季度的成绩单今天提上议事日程
• 之前的活动项目:斜方发送报告董事会CVE质量工作组
  • 状态:没有完成
• 之前的活动项目:斜方发送电子邮件向董事会名单发起CNA规则修订过程。
  • 状态:过程中
• 之前的活动项目:斜方起草CNA规则关于EOL范围问题,注意在JSON
  • 状态:没有完成
• 之前的活动项目:主教法冠CSA添加到定期的董事会会议议程
  • 状态:完整的
• 之前的活动项目:Kurt Seifried提供CVE用户注册表项目参与者和建立一个需求开始会议
  • 状态:没有完成
• 之前的活动项目:发送报告董事会CVE质量工作组(斜方)
  • 状态:没有完成

工作小组更新

• 战略规划
  • 本周没有会议
• 自动化——克里斯·约翰逊
  • 讨论了调度的开球会议ID分配项目和CVE用户注册表项目。Schmitty从微软同意联合领导CVE ID分配服务项目与贝弗利·米勒。克里斯·约翰逊一直在与Kurt Seifried CVE的用户注册中心项目领导,开球会议安排。
• 云安全联盟- Kurt Seifried / Chris棺材
  • 丽莎·奥尔森CSA WG提供一个更新。有一个推荐审查INC3包含规则。有一个热烈的讨论关于为什么删除包含这可能会削弱CVE的价值,需要有人来擦洗通过CVE确定行动是必要的。关于这个主题的讨论将会继续。

CNA更新

• DWF——Kurt Seifried
  • 没有更新
• 主教法冠——乔纳森埃文斯
  • 直觉和Tanium要求成为必须。
• JPCERT——塔基•中山教授
  • 没有更新

公开讨论项目

• 第三季-季度报告卡片复习乔纳森埃文斯
  • 乔纳森走过与董事会成员季度报告卡
  • 这份报告将用于CVE网页开发指标。董事会成员继续讨论指标应包括出版。

会议行动项

• 没有一个

董事会的决定

• 没有一个

未来讨论的话题

1. 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
2. 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
3. CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
   1. 建立一个excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。

o 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。

o 行动项目——CNA规则需要更新,以反映这种新方法。

5)消除重复CVE作业的讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o 乔纳森说重复的CVE作业发生DWF的大多数。

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责。

o 建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。

7) 根必须有效地实施

o 需要进一步讨论关于如何更有效地实施根CNAs。

o 额外讨论斜接在大根的作用是必要的。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置。

• 它可以自动的吗?
8. CVSS的未来
   • 分配多个CVSS单个CVE。
   • 希尔在CVSS的讨论。

约瑟夫·a .祈神保佑

主要网络安全工程师

T8A5——网络物理和移动技术

781.271.3901

附件:CVE_Board_meeting_101718.pdf
描述:CVE_Board_meeting_101718.pdf