CVE董事会会议摘要 - 2018年12月12日

CVE董事会会议 - 2018年12月12日

出席董事会成员

安迪·巴林斯基，思科系统公司

斯科特·劳勒（Scott Lawler），lp3

贝弗利·米勒（Beverly Miller），联想集团有限公司

斯科特·摩尔（Scott Moore），IBM

丽莎·奥尔森（Lisa Olson），微软

Kurt Seifried，云安全联盟

MITER CVE团队的成员出席

乔·巴扎尔（Jo Bazar）

克里斯·科芬

乔纳森·埃文斯（Jonathan Evans）

乔·塞恩

乔治·蒂尔（George Theall）

议程

议程

2：00 - 2:15：上次会议的介绍，动作项目

2:15 - 2:30：工作组

• 策略计划- 肯特·兰德菲尔德/克里斯·科芬
• 自动化- 克里斯·约翰逊（Chris Johnson）
• 云安全联盟- Kurt Seifried

2：30 - 2:45：CNA更新

• DWF- Kurt Seifried
• MITER- 乔纳森·埃文斯（Jonathan Evans）
• jpcert- Taki Uchiyama

2：45 –3：15：DWF根CNA状态和前进 -克里斯·科芬（Chris Coffin），库尔特（Kurt）

3:15 - 3：45：软件终结（EOL）和CVE分配-克里斯·科芬（Chris Coffin），丽莎·奥尔森（Lisa Olson）

3：50 - 4：00：动作项目，总结

2018年11月28日举行的董事会会议的行动项目审查

• 以前的操作项目：MITER CVE团队将与律师讨论GDPR对CVE项目的影响
  • 地位：在过程中
• 以前的操作项目：与Microsoft合作开始自动提交过程（类似于IBM）并记录该过程
  • 地位：一旦Microsoft准备就绪，将开始。根据先前的讨论，针对2月补丁。
• 以前的操作项目：MITER（Chris C/Jonathan）将电子邮件发送到董事会列表以启动CNA规则修订过程。
  • 地位：在过程中。我们已经组装了一份项目列表，并将在DEC发送给董事会之前进行内部审查
• 以前的操作项目：在JSON中使用有关EOL范围问题和注释字段的CNA规则的斜切规则
  • 地位：在过程中。这将包含在CNA规则修订列表中
• 以前的操作项目：MITER（Jonathan/Joe）将起草有关RBP规则的CNA规则的澄清，并发送给董事会进行审查。
  • 地位：在过程中。这将包含在CNA规则修订列表中
• 以前的操作项目：肯特·兰德菲尔德（Kent Landfield）正在研究举办2019年CNA虚拟峰会。
  • 地位：在过程中。CNA虚拟峰会将在1月/2月的时间范围内举行，以解决2019年3月/4月面对面CNA峰会之前的紧迫问题，TrendMicro已提出主持人。CNA峰会的预期日期是3月18日至22日至4月1日至5日。

工作组更新

• 策略计划- 肯特·兰德菲尔德/克里斯·科芬
  • 战略规划工作组：SPWG的讨论集中在即将举行的会议上以及CVE外展机会的潜力。SPWG将协助提出宣传，一般谈判的参与以及使用安全播客访谈作为宣传方法的想法。
  • 质量工作组：QWG将由克里斯·科芬（Chris Coffin）和戴夫·沃尔赛（Dave Waltermire）共同主持，定于12月19日举行的开球会议^Th。该小组将专注于最佳实践和CVE条目的质量。
  • CNA协调工作团体：CCWG已宣布。Rapid 7的Tod Beardsley已提出主席或联合主席。目前正在开发描述根CNA角色和职责的幻灯片甲板。本演讲描述了对根CNA及其共同功能，职责和要求的需求。
• 自动化- 克里斯·科芬（Chris Coffin）
  • 以下项目已开始：
    • CVE ID分配项目- Schmitty（Microsoft）正在收集技术要求并了解项目的细节。该小组每周开会，并取得了良好的进步。Miter的Lew Loren已加入该团队，担任技术项目经理和高级开发人员。
    • 凭证，身份验证和授权项目 -Lew Loren和Anthony Singleton（Miter）开发了最初的项目描述，并将在不久的将来宣布开球会议。
    • CVE用户注册表项目 -正在安排开球会议，并为其他参与者进行搜索。
• 云安全联盟- Kurt Seifried

• CSA正在开发CVE加权和维度文件，该文件将于2019年1月提交给董事会。

CNA更新

• DWF- Kurt Seifried
  • 没有更新。
• MITER- 乔纳森·埃文斯（Jonathan Evans）

• MongoDB于12月10日成为CNA^Th。
• 18/13/18举行了ABB的入职培训。我们希望它们能迅速加入。
• Google Chrome本周与CNA协调员列表联系；他们将在今年年底之前清除RBP。
• JPCERT表示希望放弃其根CNA角色。Miter将直接接触JPCERT，以了解有关此拟议状态变化的问题。

DWF根CNA状态和前进的方向

• 由Kurt Seifried创建的DWF被纳入CVE程序中的第一个根CNA。库尔特（Kurt）在DWF方面做得非常出色，该工作支持整个开源社区。不幸的是，DWF是其自身成功的受害者，并且已经成长为一个人不再能够管理它。
• 董事会同意考虑联合计划的方法，并为支持开源产品提供更多帮助。丽莎·奥尔森（Lisa Olson）将跟进Github，看看他们是否可以提供一些帮助。
• 董事会还讨论了如何改善根CNA的角色。可能要考虑的领域包括：合并流程自动化，开发可扩展的票务系统以及提高提交DWF的格式要求。

软件终结（EOL）和CVE分配

• Miter最近收到了研究人员的Microsoft Virtual Server 2005的请求，该产品在2008年达到了生命状态。微软拒绝了该请求，因为该产品是EOL。然后，研究人员升级了CVE的请求。
• 丽莎·奥尔森（Lisa Olson）指出，研究人员十年前发现了这个问题，从未报告过。
• 库尔特补充说，研究人员负责证明在采取任何措施之前，漏洞是有效的。
• 丽莎（Lisa）将在未来的董事会会议上起草问题，并发送到MITER进行讨论。
• 董事会成员对EOL产品有一系列意见。对于是否应该为EOL产品发行CVE，可能需要进行董事会投票。
• CVE还需要开发有关CVE将如何处理EOL产品的语言。

开放讨论项目

• 没有任何。

开会项目

• 丽莎·奥尔森（Lisa Olson）将与Github接触，看看他们是否可以协助DWF。
• 丽莎·奥尔森（Lisa Olson）将编写描述Microsoft Virtual Server 2005软件EOL问题的注释。

董事会决定

• 没有任何。

未来的讨论主题

1. 我们如何更好地传达我们对CVE计划的未来愿景？我们如何更好地推销CVE计划并传达正在形成的巨大变化？
2. 我们如何向公众提供有关指标和正在进行的活动的更多状态信息？
3. CNA过程 - 前门或后门；CNA应该如何相互通信，如何管理这些信息？
   1. 设置Excel电子表格以在CNA中共享联系信息？

4）CNA范围问题

董事会讨论了CNA文档围绕角色和职责，目前的文档尚不清楚，CNA在其范围内分配了CVE。范围可能会或可能不会为其客户覆盖CVE。

o CNA规则- 规则状态CNA必须响应迅速，但不提供特定的时间范围。规则规定，如果CNA计划将CVE分配给漏洞另一个供应商的产品，则应与供应商联系。然后，供应商将做出决定。

o CNA和根的新方法- 给定的根有范围。一部分范围被委派给CNA（即研究的产品或研究区域）。如果范围的一部分未委派给CNA，则该范围与根保持在一起。将CVE分配作为最后一个度假村的CNA是根源的责任。

o 行动项目- 需要更新CNA规则以反映这种新方法。

5）消除重复CVE分配讨论

o 董事会讨论了指定CNA范围将有助于消除重复的CVE分配。Art解释说，在进行CVE任务时与其他CNA进行公开沟通至关重要。将此通信保持在CNA级别（不是根/初级级别）将有助于重复。

o 建议1：过程建议需要添加到CNA培训中。

o 建议2：CNA规则需要更新以最大程度地减少重复作业。

o 乔纳森（Jonathan）解释说，CVE分配的重复作用最多，DWF最多。

6）研究员CNA

o 董事会讨论了与歧义范围的研究人员CNA。这些CNA已发行了数千个CVE。

o 建议1：避免添加任何新的研究人员CNA，直到有特定的资格和指导方针，以确定作为研究人员CNA的资格。这包括尚待讨论的定义范围规则。

o 建议2：使研究人员CNA自然编程范围。

o 建议3：更改研究人员CNA的过程。谁负责协调ID分配？谁发行了CVE ID并填写信息？公司应该有一种更简单的方法要求CVE ID。

o 建议4：更好地定义研究人员CNA的角色和责任。

o 建议5：需要在入职其他研究人员CNA之前解决研究人员CNA模棱两可的范围问题。

o 建议6：探索研究人员参与CNA计划而不成为CNA的可能性。

o 建议7：需要针对CNA的测试/认证计划，以确保他们可以充分发挥作用，尤其是研究人员。

o 董事会同意探索有关研究人员CNA模棱两可范围问题的更好解决方案。

7） 有效地操作根CNA

o 需要进一步讨论我们如何更有效地操作根CNA。

o 需要关于MITER在操作根中的作用的其他讨论。

8） 产品类型标签/分类

o 随着CVE的生产编号的上升，将越来越需要查看整个CVE主列表的子集

o 定义用于对CVE条目进行分类的常见产品区域/域列表（例如，医疗设备，汽车，工业等）

o 标签/类别应附加到产品上，而不将其直接连接到CVE条目。

o CVE用户注册表中的产品清单将是一个潜在的位置。

• 可以自动化吗？
8. CVSS的未来
   • 将多个CVS分配给一个CVE。
   • 围绕CVSS的山丘讨论。

依恋：cve_board_meeting_12 12月_2018_final.pdf
描述：cve_board_meeting_12 12月_2018_final.pdf