趋势科技将无法今年主办CNA峰会。大感激感谢他们,做一个诚信努力主机。星星只是没有对齐。
麦克莱恩的峰会将由斜方,VA的僧帽今年校园。日期仍TBD和一个新的涂鸦投票将在1月9日th销了。虚拟峰会将是一个重要的准备步骤敲定面对面峰会的议程。我们将要求所有CNAs和董事会成员对于任何建议他们可能有这样可以有效地组织和包含在最后的议程。请站在一个电子邮件从我们CNA团队征求这些想法。应该在未来48小时内出来。
C
来自:贝弗利·米勒< bmiller2@lenovo.com >
发送:2019年1月8日,星期二,43点
:常见的漏洞和风险敞口< cve@mitre.org >;CVE编委会讨论< cve-editorial-board-list@mitre.org >
主题:再保险(外部):CVE董事会会议总结2018年12月- 12
Trend Micro主持亚太峰会在哪里?有一个第一TC被关押在俄勒冈州4/3-4/4所以希望CNA峰会不会发生。一些区域将在TC和将无法在这一周出席峰会。
2019年1月8日,星期二,下午6:01 -0500年“常见的漏洞和风险敞口" <cve@mitre.org>写道:
董事会成员参加
安迪•Balinsky思科系统公司
斯科特•劳勒LP3
贝弗利·米勒,联想集团有限公司
斯科特•摩尔IBM
丽莎·奥尔森微软
Kurt Seifried,云安全联盟
横切CVE团队的成员参加
乔集市
克里斯棺材
乔纳森埃文斯
乔祈神保佑
乔治Theall
议程
两点- 2:15:介绍,从上次会议行动项
2:15 - 2:工作组
- 战略规划-肯特Landfield / Chris棺材
- 自动化——克里斯·约翰逊
- 云安全联盟——Kurt Seifried
2:30 - 2:45:CNA更新
- DWF——Kurt Seifried
- 主教法冠——乔纳森埃文斯
- JPCERT——塔基•中山教授
2:45 3:15:DWF根CNA地位和出路Kurt Seifried Chris棺材
3:15 - 3:45:软件的生命(EOL)和CVE任务- - - - - -奥尔森克里斯棺材,丽莎
美东- 4:行动项目,总结
回顾从2018年11月28日举行的董事会会议行动项目
- 之前的活动项目:横切CVE团队将与他们的律师讨论GDPR CVE的项目的影响
- 之前的活动项目:斜方和微软启动自动提交过程(类似于IBM的)并记录这一过程
- 状态:将开始一次微软已经准备好了。针对2月星期二补丁基于先前的讨论。
- 之前的活动项目:斜方(Chris C /乔纳森)发送电子邮件向董事会名单发起CNA规则修订过程。
- 状态:在过程。我们组装的项目列表,并将执行内部审查之前发送在12月向董事会
- 之前的活动项目:斜方起草CNA规则关于EOL范围问题,注意在JSON
- 之前的活动项目:斜方(Jonathan /乔)将草案澄清CNA RBP规则和规定发送向董事会进行审查。
- 之前的活动项目:肯特Landfield正在调查主办2019 CNA虚拟峰会。
- 状态:在过程。CNA虚拟峰会将在1月/ 2月时间前解决紧迫问题面对面CNA峰会3月/ 2019年4月,TrendMicro已提供给主机。CNA峰会的预期日期是3月18日- 22日和4月1日- 5所示。
- 战略规划-肯特Landfield / Chris棺材
- 战略规划工作小组:讨论SPWG集中在即将到来的会议和潜在的CVE拓展机会。SPWG将协助为外联构思,参与谈判,和使用安全播客访谈作为推广的方法。
- 质量工作小组:QWG将共同主持克里斯棺材和戴夫•Waltermire开球会议定于12月19日th。该集团将专注于最佳实践和CVE条目的质量。
- CNA协调工作集团:CCWG已经宣布。托德比尔兹利从快速7提供了椅子,或共同主持。一个幻灯片描述根CNA目前正在研制的角色和职责。本报告描述需要根CNAs及其常见功能,责任,和要求。
- CVE ID分配项目- Schmitty(微软)收集技术需求和理解项目的细节。集团会议每周,取得良好进展。卢·罗兰从斜方加入了团队作为一个技术项目经理和高级开发人员。
- 的认证、身份验证和授权项目卢·罗兰和安东尼单例(横切)开发一个最初的项目描述,和一个开球会议将在不久的将来公布。
- CVE -用户注册表项目开球会议正在计划,正在寻找额外的参与者。
- CSA是开发一个CVE权重和维文档,将在2019年1月提交给董事会。
- MongoDB成了CNA 12月10日th。
- 新员工培训培训与ABB在12/13/18举行。我们希望他们将很快。
- Google Chrome伸出CNA本周协调员名单;他们将清除RBPs今年年底。
- JPCERT表示希望放弃他们的根CNA的角色。主教法冠将直接接触JPCERT理解这个问题提出改变状态。
- ,由Kurt Seifried DWF纳入CVE项目作为第一根CNA。库尔特已经与DWF做了大量的工作,支持整个开源社区。不幸的是,DWF自身成功的受害者,已成长为一个人再也不能管理它。
- 董事会同意认为联合的方法程序和获得额外的帮助支持开源产品。丽莎·奥尔森将与GitHub跟进,看看他们是否可以提供一些帮助。
- 董事会还讨论了如何可以改善根CNA的作用。可能考虑的领域包括:合并流程自动化,开发一个可伸缩的票务系统,改善DWF格式要求提交。
- 斜方最近收到一个请求从2005年微软的研究员虚拟服务器,一个产品在2008年达到的生活状态。微软拒绝请求,因为产品是终点。研究人员然后升级请求CVE横切。
- 丽莎·奥尔森指出,10年前,研究者发现了问题,从来没有报道。
- 库尔特补充说,研究人员负责证明漏洞采取任何行动之前是有效的。
- 丽莎将草案问题,发送到斜方在未来的董事会上进行讨论。
- 董事会成员有意见EOL产品的范围。它可能需要董事会投票的情况下是否应该发出了cf EOL产品。
- 语言如何EOL产品将由CVE还需要发展。
- 丽莎·奥尔森将接触到GitHub,看他们是否可以协助DWF。
- 丽莎·奥尔森将写一份报告描述了微软2005年虚拟服务器软件EOL的问题。
- 我们怎样才能更好的交流我们的未来愿景的CVE计划?我们如何更好的市场CVE项目和交流形成的巨大的变化?
- 我们如何向公众提供更多的状态信息在我们从事指标和正在进行的活动?
- CNA过程——前门或后门;应该如何CNAs相互通信,以及如何将这些信息进行管理?
一个。
建立一个excel电子表格联系信息在CNAs分享吗?
4)CNA范围问题
董事会讨论周围CNA文档需要的角色和职责,当前文档是不清楚,CNA分配CVE的范围内。可能或不可能覆盖范围CVE为他们的客户。
- CNA规则——必须响应规则状态CNAs但不提供一个特定的时间框架。规则的国家如果CNA计划分配的CVE漏洞另一个供应商的产品,分配CNA应该与供应商联系。供应商将做出决定。
- 新方法必须和根源——一个给定的根有一个范围。范围被委托给一个CNA的一部分(即。、产品或的研究领域)。如果没有范围的一部分委托给CNA,范围保持的根。这是根的责任CVE分配CNA的最后一招。
- 行动项目——CNA规则需要更新,以反映这种新方法。
5)消除重复CVE作业的讨论
- 董事会讨论,指定CNA范围将帮助消除重复CVE作业。艺术解释说,在开放的沟通与其他必须做CVE作业时是至关重要的;保持这种通信在CNA级别(而不是在根/初级水平)将帮助与重复。
o
建议1:建议需要添加CNA训练过程。
o
建议2:CNA规则需要更新,以减少重复作业。
o
乔纳森说重复的CVE作业发生DWF的大多数。
6)研究员必须
- 董事会讨论研究必须与模糊的范围。这些必须发布成千上万的cf。
o
建议1:避免增加任何新研究员CNAs直到有特定的资格和合格的研究员CNA指南。这包括定义范围规则有待讨论。
o
建议2:让研究人员必须自然编程范围。
o
建议3:研究人员必须改变过程。负责协调IDs的任务吗?谁问题CVE ID和填充信息?公司应该有一个更简单的方法来请求一个CVE ID。
o
建议4:更好的为研究员必须定义角色和职责。
o
建议5:需要解决研究者之前新员工培训其他研究员CNAs CNA模棱两可的范围问题。
o
建议6:探索的可能性,研究人员参与CNA程序没有成为必须。
o
建议七:需要一个测试/认证项目必须确保他们能够充分履行角色,特别是研究人员。
- 董事会同意探索更好的解决方案关于研究员CNA模棱两可的范围问题。
- 根必须有效地实施
- 需要进一步讨论关于如何更有效地实施根CNAs。
- 额外讨论斜接在大根的作用是必要的。
- 产品类型标签/分类
- 作为cf的生产数量上升,会有越来越需要查看的一个子集整体CVE总名单
- 定义一个公共产品领域/域列表用于分类CVE条目(如. .、医疗设备、汽车、工业等)
- 标签/类别应该连接到产品,而不是直接CVE条目。
- 产品上市CVE用户注册中心将是一个潜在的位置。
- 它可以自动的吗?
- CVSS的未来
o
分配多个CVSS单个CVE。
o
希尔在CVSS的讨论。
|
