CVE董事会会议总结——2018年10月31日

CVE董事会会议,2018年10月31日

董事会成员参加

安迪•Balinsky思科系统公司

肯特Landfield迈克菲

斯科特•劳勒LP3

马尼恩的艺术,CERT / CC(卡内基梅隆大学软件工程研究所)

帕斯卡尔•莫尼耶普渡大学出现/

丽莎·奥尔森微软

Kurt Seifried,云安全联盟

大卫•Waltermire国家标准与技术研究院(NIST)

肯•威廉姆斯CA技术

横切CVE团队的成员参加

乔集市

克里斯棺材

乔纳森埃文斯

乔祈神保佑

乔治Theall

其他与会者

克里斯·约翰逊(NIST)

议程

两点- 2:15:介绍,从上次会议行动项

2:15 - 2:工作组

• 战略规划——克里斯棺材
• 自动化——克里斯·约翰逊
• 云安全联盟——Kurt Seifried

2:30 - 2:45:CNA更新

• DWF——Kurt Seifried
• 主教法冠——乔纳森埃文斯
• JPCERT——没有更新

2:45 50分:公开讨论- - - - - -董事会

美东- 4:行动项目,总结

审查行动项目的董事会会议10月17日举行,2018年

• 之前的活动项目:斜方创建第三季度报告卡删除CNA-specific幻灯片的幻灯片

• 状态:完成;将分发给董事会
• 之前的活动项目:斜方(Chris棺材/ Jonathan Evans)发送电子邮件向董事会名单发起CNA规则修订过程。
  • 状态:过程中
• 之前的活动项目:斜方起草CNA规则关于EOL范围问题,注意在JSON
  • 状态:没有完成
• 之前的活动项目:Kurt Seifried提供CVE用户注册表项目参与者
  • 库尔特已经确认潜在参与者的数量。库尔特将改变DWF注册表的过程。目前,有单独的中央社和导师简历注册;这些将合并在一起,形成一个原型CVE用户注册中心的自动化项目工作组。
  • 由于GDPR潜在问题,DWF也会减少所需的个人信息登记。DWF将不再要求人们发送一个GPG密钥的副本,但需要他们发送指纹和SKS服务器上传他们的关键。库尔特看着其他方法来避免PII收集;如果需要PII, DWF不会主机。
  • GDPR担忧问题也带来了CVE是否应该使用GitHub来存储信息。GitHub和微软不想花很多时间处理GDPR。微软和GitHub要求Kurt会见他们的律师讨论他遇到的问题。库尔特将与集团保持联络。
  • 的两个主要问题与GDPR PII的可用性(例如,电子邮件、公司名称)和信息是否公开。董事会希望斜方的律师GDPR给他们提供指导。董事会需要帮助理解选项。
• 之前的活动项目:发送报告董事会CVE质量工作组(斜方)
  • 状态:没有完成

工作小组更新

• 战略规划——克里斯棺材
  • 初稿的授权、资质、认证服务文档发送10月初SPWG审查。CVE ID分配服务的启动会议定于11月6日举行^th。主题为未来战略规划工作组会议确定为新的融资模式的想法,CNA CNA的最后,根。
• 自动化——克里斯·约翰逊
  • GDPR讨论问题。
  • 提出的日期已经确定的开始CVE ID分配服务(11月6日)。
  • 微软公司表示有兴趣参与自动提交试点。
    • 目前,没有文档化的循序渐进的过程,允许自动提交,和一个应该被开发。微软提供了协助这任务;斜方的行动记录这个过程。
• 云安全联盟——Kurt Seifried
  • 库尔特讨论了如何用例周围CVE服务已经透露了一些盲点。推进服务cf之前,必须定义如下:
    • 服务上下文的弱点是什么?
    • 什么是曝光在服务环境中?
  • 下一个CSA会议将涉及一个框架的讨论来确定不同的漏洞和负责修复。

CNA更新

• DWF——Kurt Seifried
  • 没有更新
• 主教法冠——乔纳森埃文斯
  • 罗技联系我们是CNA,江森自控将提交他们CNA年底注册信息。IBM宣布有意收购红色帽子;目前还不清楚这将如何影响美国的公司。一旦最终收购,斜接将与IBM和Red Hat CNAs跟进。
• JPCERT——塔基•中山教授
  • 没有更新

公开讨论项目

• CVSS得分和分配多个分数不同的产品相同的漏洞:马尼恩艺术(CERT / CC)走过一个例子:当有CVE ID,影响核心浏览代码,浏览器窗口边缘10应该有不同的CVSS分数比Windows服务器上边缘,因为默认的配置是不同的,和Windows server有更好的沙盒功能。问题是,应该如何CVSS指向CVE ID吗?库尔特指出,这是支持JSON。
• CVSS团体会议更新:马尼恩的艺术团体集团报道,正在CVSS 3.1版本,计划未来的小版本。
• 绿洲CSAF更新:马尼恩艺术出席了绿洲telecon CVRF规范的变化进行了讨论。该组织正致力于一个JSON版本的下一版本。CVE格式是一个讨论的话题,和CSAF调整他们的格式与CVE格式。
• Vulntology:戴夫Waltermire提供了一个更新:NIST挑战社区Vulntology置评,但他们迄今为止没有收到任何回应。戴夫建议设置一个电话会议上得到反馈,以及建立一个谷歌群刺激更多的对话和获得反馈。

会议行动项

• 横切CVE团队将与他们的律师讨论GDPR CVE的项目的影响。
• 斜方和微软启动自动提交过程(类似于IBM的)并记录这一过程。
• 戴夫Waltermire -建立一个电话会议上得到反馈Vulntology。
• 主教法冠将分发擦洗版的季度董事会审查成绩单。
• 主教法冠将开发一个循序渐进的过程文档加入GitHub自动化与微软去年12月提交过程。

董事会的决定

• 董事会同意微软添加到GitHub自动提交过程。

未来讨论的话题

1. 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
2. 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
3. CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
   1. 建立一个Excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。

o 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。

o 行动项目——CNA规则需要更新,以反映这种新方法。

5)消除重复CVE作业的讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o 乔纳森说重复的CVE作业发生DWF的大多数。

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责。

o 建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。

7) 根必须有效地实施

o 需要进一步讨论关于如何更有效地实施根CNAs。

o 额外讨论斜接在大根的作用是必要的。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置。

• 它可以自动的吗?
8. CVSS的未来
   • 分配多个CVSS单个CVE。
   • 希尔在CVSS的讨论。

会议记录可用:

https://handshake.mitre.org/file/view/15218030/cve-board-meeting-10-17-18-part-1

https://handshake.mitre.org/file/view/15220827/cve-board-meeting-10-31-18-part-2

附件:CVE_Board_meeting_summary_31Oct18-final.pdf
描述:CVE_Board_meeting_summary_31Oct18-final.pdf