2021-7-28 主持人：郭晓琪

与会人： 刘金刚，魏刚，颜小兵，朱健伟，郭晓琪，杨丽锦，麒麟软件-崔雷，Jianmin Wang，zhangshaoning，孙立刚，统信-魏东

【会议议题】

1.社区漏洞处理进展 —— 郭晓琪

1) 漏洞感知: 7月新增漏洞117个，其中75个源自感知工具，占比 64%

2) 漏洞修复：

7月共推送117个CVE，已解决 34个，已发布61个。

当前还有23个漏洞未修复，其中7分以上漏洞5个。

需要继续向漏洞处理设定目标（9分以上7天，7分以上14天，其他30天）努力。

七月的SLO目前的达成率为52.78%，七月份的CVE目前还未超期，最终的SLO达成率需要在八月底统计。

3） 漏洞修复其它进展：

沟通一些处理情况不太理想的sig

sig-DB —— sig-DB目前人力资源短缺，需要调动人员协助看护。目前sqlite及mariadb-connector-c软件包之前在DB数据库sig组中做维护动作，介于这两个包为最小基础软件包，后续转入Base-service sig组中进行维护，但目前Base-service sig组暂时没有细分maintainer暂时未加入其它组成员，目前由Base-service sig组负责代码合入。

sig-ceph —— sig-ceph看护人员较为分散，已将ceph不同模块分发给不同的人，并定期组织例会，漏洞相关信息在sig群组里讨论。

2. 漏洞处理中的困难点讨论 —— 郭晓琪

近期新增漏洞较多，处理过程中总结遇到以下三种处理难度较大的情况：

1） 补丁多、适配量大

遗留任务：根据特殊仓具体分析，跟sig组讨论解决措施，例如tomcat组件

2） 升级修复涉及依赖，需要引入软件包

解决方案：遇到此类问题将涉及CVE使用特殊标签标记，在社区安全委员会仓库提issue跟踪问题，后期形成修复此类问题的指南

3） 漏洞有关资料少

解决方案：分析CVE时优先分析代码和版本号，影响代码段和版本号没有确认信息的情况下与上游社区做交互，得到有效结论

3. CVE遗留备案 —— 盖慧英

CVE-2021-22922：在使用metalink功能的下载内容的时候，curl处理文件哈希不匹配的方式存在缺陷，此漏洞允许攻击者控制托管服务器来诱骗用户下载恶意内容。

CVE-2021-22923：在使用metalink功能的下载内容的时候，curl处理凭据的方式存在缺陷，此漏洞允许能够控制托管服务器的攻击者在用户不知情的情况下访问下载内容时提供的凭据，此漏洞威胁最大的是机密性。

报备原因：

1） 目前社区未提供正式的修复补丁（NVD目前尚未收录）

2） 漏洞涉及到的模块metalink在高版本curl-7.78中被移除，不再支持（https://github.com/curl/curl/pull/7176/）

3） 对于受影响的低版本，可采用规避方案，即关闭该功能的配置项，取消对libmetalink-devel的依赖：

--with-libmetalink -> --without-libmetalink

评审结论：

1） 码云issue暂时挂起

2） 输出metalink模块的分析报告，邮件发送给OSV厂商，调查使用情况

3） 待OSV厂商反馈使用情况后考虑采取规避方案，构建时去掉该模块

4. 社区包引入评审 —— 刘金刚

本次评审共涉及32个待引入包，经过评估需要重点审视libfonts是否存在预埋的专利风险，需要合规sig的评审，其他软件仓可以引入。详细包列表参考附件

下次安全委员会会议时间：8月12日， 主持人：杨丽锦

会议内容：1. 漏洞感知工具进展汇报

2. 社区漏洞处理进展汇报

3. 社区漏洞遗留报备

4. 社区引入软件包评审

Summary: 1. 漏洞感知工具进展汇报

2. 社区漏洞处理进展汇报

3. 社区漏洞遗留报备

4. 社区引入软件包评审