【安全委员会例会纪要】

轮值主持人：guoxiaoqi 下次主持人：jinjin 与会人：liujingang09, yanxiaobing2020, zhujianwei001，gwei3，guoxiaoqi, jinjin，闫志全，张少宁, wangyue, zhanghua, fanjiachen, wangyiru, lubing, xiujianfeng, 崔雷, wangweiyang, 白光磊, 马德斌, 张建均 会议时间：2021年2月24日 16:00－18:00 会议地点：zoom会议

会议主题： 1.漏洞感知系统 主讲人：闫志全 问题：仍然存在误报情况，提升数据准备性需要数据化，自动审核导致的误报需要归总起来；漏洞感知时间需要明确处理时间轴 计划：1.系统稳定性：稳定性指标->稳定性方案->方案评审->方案实施->稳定性验证->灾备手册 2. 数据准确性：完善fixversion方案、对缺少startversion进行补充 3.自动审核：仅针对系统无法处理的情况进行人工审核 4.时效性：目标小于24小时

计划需要排具体时间，是否有需求需要优先处理 稳定性，时效性，误报率，漏报率（持续改进）

2.社区漏洞处理 主讲人：guoxiaoqi 月初发布紧急漏洞5个，均为9分以上，达成社区SLA目标 月度版本解决漏洞108个 ，SA 50个，补丁测试中，未发布 （预计3月3日发布） 遗留CVE评审：jetty CVE-2020-27218 CVE-2019-10241 暂时挂起，和maintainer一起讨论升级策略，持续跟踪 js-jquery1 CVE-2019-11358 CVE-2019-11023 作为衰退软件处理

3.CVE可视化视图方案讨论 主讲人：liujingang 背景：今年需要对CVE感知和修复的情况进行度量，对CVE进行可视化管理，度量指标包括：漏洞感知时长、CVS issue首次响应时长、漏洞SA补丁修复时长和漏洞SA发布时长等7个度量指标。 方案需细化的问题：人工录入的CVE issue，CVE-manage刷新CVE issue时从NVD中同步CVE首次公开时间。 度量维度基于严重级别、sig组、版本分支分类 遗留问题：版本维度是通过里程碑或分支？跟release-management团队（胡峰）确认

4.安全委员会准成员以及成员主要工作介绍 介绍链接：https://gitee.com/openeuler/security-committee/blob/master/README.md

欢迎新成员崔雷加入openEuler安全委员会！ 新成员介绍： 姓名：崔雷 引荐人：刘金刚 导师：刘金刚 邮箱：cuilei@kylinos.cn 所在团队：麒麟软件安全团队ta

安全委员会后续工作改进点： 对于不受影响的漏洞，安全委员成员每个发布周期需要去分析，静默修复的CVE补发SA，误报CVE汇总上报软件所。 已挂起的漏洞，安全委员会成员持续跟踪。

遗留任务：向nvd注册openEuler CPE —— liujingang

5. SA发布流程 主讲人：zhangjianjun 检查csv文档是否有更新(时间在发布时间内)->校验组件CVE->issue对应PR->核验数据，生成对应分支的cvrf

下次会议计划时间：2021年3月3日，会议组织：jinjin 会议组织轮值表： liujingang09@huawei.com [@liujingang09] yanxiaobing@huawei.com [@yanxiaobing2020] zhujianwei7@huawei.com [@zhujianwei001] 11015100@qq.com [@gwei3] guoxiaoqi2@huawei.com [@guoxiaoqi] yanglijin@huawei.com [@jinjin] 2021年3月3日