【安全委员会例会纪要】

 

轮值主持人：guoxiaoqi

下次主持人：jinjin

与会人：liujingang09, yanxiaobing2020, zhujianwei001，gwei3，guoxiaoqi, jinjin，闫志全，张少宁, wangyue, zhanghua, fanjiachen, wangyiru, lubing, xiujianfeng, 崔雷, wangweiyang, 白光磊, 马德斌, 张建均

会议时间：2021年2月24日 16:00－18:00

会议地点：zoom会议

 

会议主题：

1.漏洞感知系统 主讲人：闫志全

问题：仍然存在误报情况，提升数据准备性需要数据化，自动审核导致的误报需要归总起来；漏洞感知时间需要明确处理时间轴

计划：1.系统稳定性：稳定性指标->稳定性方案->方案评审->方案实施->稳定性验证->灾备手册

2. 数据准确性：完善fixversion方案、对缺少startversion进行补充

3.自动审核：仅针对系统无法处理的情况进行人工审核

4.时效性：目标小于24小时

 

计划需要排具体时间，是否有需求需要优先处理

稳定性，时效性，误报率，漏报率（持续改进）

 

2.社区漏洞处理 主讲人：guoxiaoqi

月初发布紧急漏洞5个，均为9分以上，达成社区SLA目标

月度版本解决漏洞108个 ，SA 50个，补丁测试中，未发布 （预计3月3日发布）

遗留CVE评审：jetty CVE-2020-27218 CVE-2019-10241 暂时挂起，和maintainer一起讨论升级策略，持续跟踪

js-jquery1 CVE-2019-11358 CVE-2019-11023 作为衰退软件处理

 

3.CVE可视化视图方案讨论 主讲人：liujingang

背景：今年需要对CVE感知和修复的情况进行度量，对CVE进行可视化管理，度量指标包括：漏洞感知时长、CVS issue首次响应时长、漏洞SA补丁修复时长和漏洞SA发布时长等7个度量指标。

方案需细化的问题：人工录入的CVE issue，CVE-manage刷新CVE issue时从NVD中同步CVE首次公开时间。

度量维度基于严重级别、sig组、版本分支分类

遗留问题：版本维度是通过里程碑或分支？跟release-management团队（胡峰）确认

 

4.安全委员会准成员以及成员主要工作介绍

介绍链接：https://gitee.com/openeuler/security-committee/blob/master/README.md

 

欢迎新成员崔雷加入openEuler安全委员会！

新成员介绍：

姓名：崔雷

引荐人：刘金刚

导师：刘金刚

邮箱：cuilei@kylinos.cn

所在团队：麒麟软件安全团队ta

 

安全委员会后续工作改进点：

对于不受影响的漏洞，安全委员成员每个发布周期需要去分析，静默修复的CVE补发SA，误报CVE汇总上报软件所。

已挂起的漏洞，安全委员会成员持续跟踪。

 

遗留任务：向nvd注册openEuler CPE —— liujingang

 

5. SA发布流程 主讲人：zhangjianjun

检查csv文档是否有更新(时间在发布时间内)->校验组件CVE->issue对应PR->核验数据，生成对应分支的cvrf

 

下次会议计划时间：2021年3月3日，会议组织：jinjin

会议组织轮值表：

liujingang09@huawei.com [@liujingang09]

yanxiaobing@huawei.com [@yanxiaobing2020] 

zhujianwei7@huawei.com [@zhujianwei001]  

11015100@qq.com [@gwei3] 

guoxiaoqi2@huawei.com [@guoxiaoqi]

yanglijin@huawei.com [@jinjin]        2021年3月3日