CVE董事会会议总结- 11月14日,2018

CVE董事会会议——2018年11月14日

董事会成员参加

安迪•Balinsky思科系统公司

马克•考克斯红帽公司。

威廉•考克斯集成电路制造有限公司委托新思科技有限公司

斯科特•劳勒LP3

贝弗利·米勒,联想集团有限公司

斯科特•摩尔IBM

丽莎·奥尔森微软

孝中山教授,松下公司

横切CVE团队的成员参加

乔集市

乔纳森埃文斯

乔祈神保佑

其他与会者

克里斯·约翰逊(NIST)

议程

两点- 2:15:介绍,从上次会议行动项

2:15 - 2:工作组

• 战略规划——没有本周会议
• 自动化——克里斯·约翰逊
• 云安全联盟——Kurt Seifried

2:30 - 2:45:CNA更新

• DWF——Kurt Seifried
• 主教法冠——乔纳森埃文斯
• JPCERT——塔基•中山教授

2:45 3:15:CNA规则修改讨论:保留但公共(RBP)乔纳森埃文斯

3:15 - 50分:公开讨论- - - - - -董事会

美东- 4:行动项目,总结

审查行动项目的董事会会议于2018年10月31日举行

• 操作项:横切CVE团队将与他们的律师讨论GDPR CVE的项目的影响
  • 指定的日期:10/31,Chris棺材
  • 状态:过程中
• 活动项目:斜方和微软启动自动提交过程(类似于IBM的)并记录这一过程
  • 指定的日期:10/31,Chris棺材
  • 状态:协调安排与微软
• 活动项目:戴夫Waltermire建立一个电话会议Vulntology获得反馈
  • 指定的日期:10/31,戴夫Waltermire
  • 状态:Vulntology谷歌集团建立了;涂鸦调查发送电话会议的日期
• 活动项目:斜方发送电子邮件向董事会名单发起CNA规则修订过程。
  • 指定的日期:10/3,,克里斯棺材&乔纳森埃文斯
  • 状态:过程中
• 活动项目:斜方起草CNA规则关于EOL范围问题,注意在JSON
  • 指定的日期:10/3,乔纳森·埃文斯
  • 状态:行动项目将进入滚规则修订的过程
• 活动项目:发送报告董事会CVE质量工作组
  • 指定的日期:10/3,Chris棺材
  • 状态:没有完成

工作小组更新

• 战略规划——没有本周会议
• 自动化——克里斯·约翰逊
  • 开球会议周二举行,11月6^th讨论了CVE ID分配服务需求。
  • 小组讨论可能的CVE GDPR影响用户注册中心服务活动。
  • 该组织正在寻找一个领导人的认证,身份验证和授权服务。,将形成一个团队发展需求。
  • 开球会议仍然需要预定用户注册中心服务需求会议;将与库尔特跟进。
• 云安全联盟——Kurt Seifried
  • 没有更新

CNA更新

• DWF——Kurt Seifried
  • 没有更新
• 主教法冠——乔纳森埃文斯
  • 收到一个新的CNA请求,Resilio。CNA新员工培训材料发给他们。
  • 博通公司完成收购CA的联系信息已经更新,虽然还不清楚如果他们仍将是中央社。我们将监控情况。
• JPCERT——塔基•中山教授
  • 我们会见了JPCERT地位作为根CNA和跟进会议已经安排下周,他们最终决定是否他们想继续成为根CNA。

公开讨论项目

CNA规则修改的讨论:保留但公共(RBP)乔纳森埃文斯

• CNA规则是模糊的关于当一个CNA负责提交条目;规则可以解释许多方面。
  1. 中央社的一个解释是,是需要提交一个条目一旦CNA出版咨询关于脆弱,
  2. 第二个解释是,CNA负责提交条目不管公众咨询的来源。
• 9月,一个新的政策实施,即如果CNA保留但是公众(RBPs) id,没有新的CVE IDs将发布。例如,如果研究人员发布了一个顾问CNA准备发布之前,我们应该考虑这个RBP和块的发行新CVE id吗?

• 马克•考克斯讨论他的这项新政策的经验当Apache请求2009 CVE id和被拒绝,因为研究人员发表的一个顾问之前协调与Apache。
• 的频率问题进行了讨论。相对较少,但它可以发生与分布式的项目,比如Apache。
• 丽莎·奥尔森(微软)解释说他们有时提供CVE IDs研究人员星期二补丁之前,但他们告诉研究者他们不能公开CVE ID从微软之前版本的文档。如果研究员是上市前微软发布的文档,丽莎的公开立场是,他们不会谈论它直到微软发布CVE ID。
• 马克·考克斯也长大释放的可能性“存根”条目,列出一个漏洞有限的信息,这将扩大在稍后的日期。根据现行规定,这并不足以开启释放额外的id。
• 集团同意规则时应明确指定刊物应该发生,也许应该有一个有限的例外的情况下(如那些被讨论。

会议行动项

• 主教法冠将草案澄清RBP规则和发送到董事会审议。

董事会的决定

• 没有一个

未来讨论的话题

1. 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
2. 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
3. CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
   1. 建立一个excel电子表格联系信息在CNAs分享吗?

4)CNA范围问题

董事会讨论了CNA文档需要在角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。

o CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。

o 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。

o 行动项目——CNA规则需要更新,以反映这种新方法。

5)消除重复CVE作业的讨论

o 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。

o 建议1:建议需要添加CNA训练过程。

o 建议2:CNA规则需要更新,以减少重复作业。

o 乔纳森说重复的CVE作业发生DWF的大多数。

6)研究员必须

o 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。

o 建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。

o 建议2:让研究人员必须自然编程范围。

o 建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。

o 建议4:更好的为研究员必须定义角色和职责。

o 建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。

o 建议6:探索的可能性,研究人员参与CNA程序没有成为必须。

o 建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。

o 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。

7) 根必须有效地实施

o 需要进一步讨论关于如何更有效地实施根CNAs。

o 额外讨论斜接在大根的作用是必要的。

8) 产品类型标签/分类

o 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单

o 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)

o 标签/类别应该连接到产品,而不是直接CVE条目。

o 产品上市CVE用户注册中心将是一个潜在的位置。

• 它可以自动的吗?
8. CVSS的未来
   • 分配多个CVSS单个CVE。
   • 希尔在CVSS的讨论。

附件:CVE_Board_Meeting_14_November_2018_final.pdf
描述:CVE_Board_Meeting_14_November_2018_final.pdf