轮值主持人：yanglijin

下次主持人：liujingang

与会人：liujingang, zhujianwei，weigang，guoxiaoqi, jinjin，zhangshaoning, ye201, cuilei

会议时间：2021年3月3日 16:00－17:00

 

会议议题：

一、社区漏洞处理进展 主讲人：yanglijin

1. 漏洞感知：本周新增漏洞54个，其中严重漏洞4个，为Base-service(screen)，Desktop(xterm)，sig-Java(struts、lucene)，主要漏洞30个，涉及Networking sig(squid、openldap、openvswitch)，Desktop sig(glib2)，sig-Java(infinispan)，Programming-language sig(glib)，Kernel sig，Base-service(python3)等。

2. 漏洞修复：

1） 已修复：本月修复了48个漏洞，涉及25个软件包，计划在本月底发布补丁和SA。其中mysql有20个漏洞均为CVSS打分7分以下，需要通过升级修复，不跟随2月补丁发布。

2） 待修复：当前社区还有88个漏洞未修复，其中严重2个、主要27个，主要涉及Desktop SIG（xterm、glib2、avahi），sig-Java（springframework、infinispan、jackson-dataformats-binary、lucene），kernel sig。

 

其中 Networking,Programming-language,Base-service,Application 这几个sig组对漏洞响应比较及时。

 

遗留问题：

- 存在漏洞在LTS版本中已修复，但漏发SA的情况，这种情况应补发SA，同时需要分析问题引入的原因并细化解决方案，并刷新到漏洞处理FAQ中。- yanglijin, liujinggang

- 当前9分以上漏洞走单包发布流程主要是人为驱动的，应建立自动触发单包发布的流程（release-sig）。建议在release-sig报个议题，讨论CVE修复完成后自动触发单包发布流程。- weigang 

 

二、kernel漏洞处理分享 主讲人：gwei3 、

1. 漏洞跟踪和处理使用通过从gitee企业版中导出的CVE issue列表。

2. 建立SIG安全接口人，由其在CVE issue中记录源码仓漏洞修复信息，并在PR中关联CVE Issue。

3. 由安全委员会成员确认漏洞修复信息无误后关闭CVE issue。

4. 生成SA时再次核对漏洞描述和修复情况等信息。

 

三、交流环节

漏洞处理自动化流程介绍（https://openeuler.org/zh/security/vulnerability-reporting/）

 

下次会议计划时间：2021年3月10日，会议组织：liujingang

会议组织轮值表：

liujingang09@huawei.com [@liujingang09] 2021年3月10日

yanxiaobing@huawei.com [@yanxiaobing2020]

zhujianwei7@huawei.com [@zhujianwei001]

11015100@qq.com [@gwei3]

guoxiaoqi2@huawei.com [@guoxiaoqi]

yanglijin@huawei.com [@jinjin]

 

杨丽锦  00511953

云与计算BG-计算产品线-计算研发管理部-鲲鹏计算产品部-基础软件平台项目群

Mobile：15168350853

Email：yanglijin@huawei.com