2021-7-7 主持人：魏刚

与会人： 刘金刚，魏刚，颜小兵，郭晓琪，合规SIG-郑志鹏，麒麟软件-崔雷，麒麟软件-王悦良，麒麟软件-侯建，麒麟软件-史景颖，程鑫鑫，中科微澜-闫志全，中科微澜-张晨波，成坚，麒麟软件-韩楠，tian，李孟龙，麒麟软件-刘涛，孙立刚，统信-魏东

【会议议题】

1.漏洞感知工具进展 —— 闫志全

1) 数据跟踪时间点：从漏洞图谱数据源感知原始数据；

2) 数据入库时间点：原始数据经过提取和重构后进入漏洞图谱知识库的时间；

3) 数据过滤时间点：漏洞图谱知识库中的数据经过过滤后判断影响openEuler；

4) 数据推送时间点：最终推送到openEuler社区的时间。

漏洞感知受影响时间方案：根据过滤器过滤结果，判断是否影响openEuler，如果影响，则已数据跟踪时间点作为受影响时间。计划下周开始为库中已有数据记录增加相应字段。

遗留问题：cve-manager需要开始考虑进行相应的调整  -- 颜小兵

2.社区漏洞处理进展 —— 魏刚

1) 漏洞感知: 6/23~7/7两周新增漏洞27个，其中24个源自感知工具，占比 89%

2) 漏洞修复：

本月(6/20至7/7)：共推送34个CVE，已解决 24个，其中个16已发布。共解决CVE77个，共发布CVE91个，SA35个。

当前还有151个漏洞未修复，其中7分以上漏洞81个。当前挂起状态的漏洞202个，其中7分以上漏洞84个。

需要继续向漏洞处理设定目标（9分以上7天，7分以上14天，其他30天）努力。

遗留任务：下次TC上通报漏洞处理现状 -- 刘金刚。

3.内核SIG申请更改内核CVE报告路径 —— 成坚

成坚：希望CVE的报告从构建仓库src-openeuler/kernel 迁移到openeuler/kernel源代码仓库，可以让issue的处理更及时，同时可以提高openeuler/kernel源代码仓库的活跃度。

刘金刚/魏刚：CVE报告直接迁移到openeuler/kernel下跟现有流程有较大冲突。建议考虑在现有流程基础上尝试创建后向源代码仓同步CVE，在源码仓处理后向制品仓issue反向同步。

遗留任务：后续跟cve-manager维护者讨论 -- 成坚、魏刚。

4.崔雷转为安全委员会正式成员，杨丽退出安全委员会。

5. 开源软件引入管理：形成开源软件引入规则，对于存在风险的软件采用黑名单管理。 —— 刘金刚

https://gitee.com/openeuler/community/tree/master/zh/technical-committee/governance

分类：

1）存在安全风险的开源软件：如有恶意代码的软件

2）存在专利侵权类的开源项目：如视频、音频、Office类软件，建议针对专利类的每个领域制定白名单

3）扫描类工具的引入和管理：如：TcpReply，ARP

遗留问题：

（1）创建仓库时不进行合规检查，将合规检查移到每一次代码合入的PR中，包括首次建仓的代码合入。 

          遗留问题： 代码合入时合规检查要具有检查压缩包类文件的能力         高琨、郑志鹏

（2）compliance SIG负责专利合规相关的包引入规则整理，重点分析视频、音频、office类开源软件           高琨、郑志鹏

（3）安全委员会负责梳理存在引入开源软件安全风险识别规则，并给出扫描类软件引入和管理的指南         刘金刚、朱建伟

6. 麒麟开始维护3个软件包的CVE处理流程

1) wget/lsof，韩楠/刘涛

2) UKUI问题由崔雷对接

3) cve-manage相关需求（已有CVE查询接口），源码仓提issue，线下讨论

下次安全委员会会议时间：7月21日， 主持人：郭晓琪