SC会议纪要 2021-01-13: 漏洞感知系统进展, 主讲人:闫志全 (1) 完成数据源的处理,覆盖NVD和主流Linux社区,可覆盖LTS版本的2762个软件包,覆盖率98.7%。 (2) 新增基于上游社区软件包名称矩阵的漏洞感知方式,软件包名映射矩阵完成66%,其中包括2797个LTS版本软件包。 (3) 本周只向测试环境推送漏洞,未向openEuler社区生产环境推送漏洞。 Liujingang: (1) 要区分生产环境和测试环境,对于已经完善的过滤器要正常运行起来,例行每天向openEuler社区推送漏洞,后续每周会对推送漏洞的数量、覆盖软件包的数量、漏报率和误报率进行分析,希望经过几个月的运行和调测能够达到24小时内感知上游社区漏洞的能力。 (2) 晓琪会每个月提供openEuler社区不受影响的漏洞数据,可以分析误报的原因,提高漏洞推送的准确率 社区漏洞处理进展, 主讲人:刘金刚 (1) 当前社区共有44个漏洞未修复,其中kernel漏洞有22个,占比50%。有171个挂起的漏洞,安全委员会和SIG maintianer持续跟踪上游社区漏洞修复情况。 (2) 安全委员会针对存在漏洞的SIG划分责任田,责任田负责跟踪各个SIG的漏洞修复情况,可以协助maintainer开展7分以上漏洞的分析、重评估和修复。 Guoxiaoqi: (1)下次例会可以找maintainer代表夏森林分享CVE修复的经验,我(晓琪)分享如何与maintainer协同完成漏洞的修复。 (2)责任田在协同SIG处理漏洞的同时,可以根据参与人员的兴趣,推荐各个SIG的安全联络人。 Yanglijin: 对于漏洞影响较高的软件版本,当前社区版本不受影响CVE ISSUE被关闭的情况,如果软件包升级后如何重新激活CVE ISSUE? 建议:可以通过包引入时安全漏洞来解决这个问题,给sa-manager提一个包引入漏洞扫描场景的需求。 软件仓名称 待办的 进行中 已挂起 总计 SIG 责任田 备注 src-openEuler/apache-commons-ognl 1 1 sig-Java 刘金刚 src-openEuler/autotrace 52 52 Private 刘金刚 计划剥离 src-openEuler/binutils 1 1 Base-service 晓琪 src-openEuler/cpio 1 1 DB 晓琪 src-openEuler/curl 1 1 Networking 晓琪 src-openEuler/eclipse-ecf 1 1 sig-java 刘金刚 src-openEuler/firefox 0 71 71 Application 丽锦 已报备 src-openEuler/flex 2 2 Base-service 晓琪 src-openEuler/glibc 1 4 5 sig-RISC-V 小兵 src-openEuler/golang 1 1 sig-golang 小兵 src-openEuler/graphviz 1 1 Desktop 丽锦 src-openEuler/hdf5 17 17 Runtime 小兵 已报备 src-openEuler/hunspell 1 1 Desktop 丽锦 src-openEuler/ImageMagick 1 1 Others 刘金刚 src-openEuler/infinispan 1 1 sig-java 刘金刚 src-openEuler/jackson-databind 3 3 sig-java 刘金刚 src-openEuler/javamail 1 1 Application 丽锦 src-openEuler/jetty 4 4 private 刘金刚 src-openEuler/kernel 22 9 31 kernel 魏刚、健伟 src-openEuler/kubernetes 1 1 Container 魏刚 src-openEuler/libdb 3 3 Base-service 晓琪 src-openEuler/libvirt 1 1 virt 健伟 src-openEuler/openssh 2 2 Networking 晓琪 src-openEuler/openssl 1 1 sig-security-facility 健伟 src-openEuler/pcre 1 1 Base-service 晓琪 src-openEuler/procmail 1 1 Networking 晓琪 src-openEuler/python3 1 1 Base-service 晓琪 src-openEuler/python-beaker 1 1 Base-service 晓琪 src-openEuler/python-pandas 1 1 Others 刘金刚 src-openEuler/qemu 1 2 3 virt 健伟 src-openEuler/squid 1 1 Networking 晓琪 src-openEuler/thrift 2 2 Base-service 晓琪 总计 21 23 171 215 安全委员会运作, 主讲人:刘金刚 安全委员会成员每周轮值,轮值内容包括: (1)跟踪社区每日新增漏洞,根据漏洞CVSS打分设定处理优先级, 9分以上漏洞需指定安全委员会专人跟踪。 (2)组织安全委员会周例会 (3)轮值顺序: liujingang09@huawei.com<mailto:liujingang09@huawei.com> [@liujingang09<https://gitee.com/liujingang09>] yanxiaobing@huawei.com<mailto:yanxiaobing@huawei.com> [@yanxiaobing2020<https://gitee.com/yanxiaobing2020>] (1月20日) zhujianwei7@huawei.com<mailto:zhujianwei7@huawei.com> [@zhujianwei001<https://gitee.com/zhujianwei001>] 11015100@qq.com<mailto:11015100@qq.com> [@gwei3<https://gitee.com/gwei3>] guoxiaoqi2@huawei.com<mailto:guoxiaoqi2@huawei.com> [@guoxiaoqi<https://gitee.com/guoxiaoqi>] yanglijin@huawei.com<mailto:yanglijin@huawei.com> [@jinjin<https://gitee.com/jinjin>] From: openEuler conference [mailto:public@openeuler.io] Sent: Tuesday, January 12, 2021 5:58 PM To: dev@openeuler.org; tc@openeuler.org; openeuler-security@openeuler.org Subject: [openeuler-security] 安全委员会例会 您好! openEuler security-committee SIG 邀请您参加 2021-01-13 16:00 召开的ZOOM会议 会议主题:安全委员会例会 会议内容: 1、漏洞感知工具进展介绍 2、社区漏洞处理进展介绍 3、安全委员会运作规则讨论 会议链接:https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09 更多资讯尽在:https://openeuler.org/zh/ Hello! openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-01-13 16:00, The subject of the conference is 安全委员会例会, Summary: 1、漏洞感知工具进展介绍 2、社区漏洞处理进展介绍 3、安全委员会运作规则讨论 You can join the meeting at https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09. More information<https://openeuler.org/zh/>