安全委员会例会纪要
会议时间:2021-3-17
与会人:中邮信科-马德斌、北明-卢宇威、统信-张少宁、中科微澜-张晨波、麒麟-崔雷、杨丽锦、郭晓琪、朱建伟、魏刚、刘金刚
纪要人:刘金刚
遗留问题:
- 存在漏洞在LTS版本中已修复,但漏发SA的情况,这种情况应补发SA,同时需要分析问题引入的原因并细化解决方案,并刷新到漏洞处理FAQ中。-
yanglijin, liujinggang
进展: 本周无进展,3月24日前给出解决方案并完成FAQ的刷新。
- 当前9分以上漏洞走单包发布流程主要是人为驱动的,应建立自动触发单包发布的流程(release-sig)。建议在release-sig报个议题,讨论CVE修复完成后自动触发单包发布流程。-
weigang
进展:与基础架构进行交流,基础设施团队给出单包发布流程的方案,在release sig例会进行讨论
会议议题:
一、社区漏洞感知工具进展
主讲人:张晨波
1.漏洞感知工具进展:目前正在进行系统稳定性工作,进度在70%-90%,预计这周完成。
后续主要工作:优化时效性、日报周报功能、补充数据来源字段、定时过滤全量数据、补充startversion字段,提高过滤器准确性、针对漏洞基数大的软件包单独处理漏报误报统计、记录漏洞history、处理高热度漏洞。
遗留任务:
1 系统要实现24小时正常运行,系统异常不要超过12小时,以确保24小时漏洞感知能力。
2)当前与24小时感知能力还有较大差距,需要系统梳理Vtopia各个模块间数据流的时延,去掉不必要的定时任务,优化或自动化人工审核方案,在3月底达成24小时漏洞感知能力。
3)持续的分析漏洞报的情况,降低漏报率,漏报率第一目标值小于85%。
二、社区漏洞处理进展
主讲人:刘金刚
1. 漏洞感知:本双周新增漏洞96个(严重5个,主要的47个),其中72个源自感知工具,占比75%,贡献者提交的24个漏洞,其中有效漏洞19个,感知工具漏报率:20.9%。
2. 漏洞修复:
1) 已修复:本月修复了33个漏洞,涉及25个软件包,本周应发布版本修复7分以上漏洞。
2) 待修复:当前社区还有90个漏洞未修复(严重0个、主要48个,次要39个,不重要3个),其中7个grub2漏洞风险较高,建议本周发布修复版本。
遗留任务:openEuler漏洞处理质量看板预计在3月底上线,下次例会介绍一下看板的度量指标和功能展示
--汪奕如
三、 openwall安全工具分析
主讲人:郭晓琪
1、passwdqc功能:(1)判断密码是否符合复杂度要求,密码要求可配置;(2)生成符合要求的随机密码,密码要求可配置;(3)提供pam模块用以验证密码复杂度,密码要求可配置
结论:不需要引入到openEuler社区。
2、phpass功能:可移植的PHP密码哈希框架/usr/share/php/phpass/PasswordHash.php
结论:不需要引入到openEuler社区。
3、tcb功能:(1)备用密码屏蔽方案,作为/etc/shadow的替代;(2)pam_tcb作为pam_unix的替代,密码认证模块
遗留任务:调查与pam_unix的区别及业界发展趋势,再分析是否需要引入 ——
郭晓琪
下次安全委员会会议时间:3月24日, 主持人:颜小兵
From: openEuler conference [mailto:public@openeuler.io]
Sent: Tuesday, March 16, 2021 11:32 AM
To: dev@openeuler.org; openeuler-security@openeuler.org; tc@openeuler.org
Subject: [openeuler-security] openeuler安全委员会例会
您好!
openEuler security-committee SIG 邀请您参加 2021-03-17 16:00
召开的ZOOM会议(自动录制)
会议主题:openeuler安全委员会例会
会议内容:
1. 漏洞感知工具进展介绍
2. 社区漏洞处理进展介绍
会议链接:https://zoom.us/j/93616254724?pwd=cGZwU3VPT1plVG5OT0ZnY3ZUWGpjQT09
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-03-17 16:00,
The subject of the conference is openeuler安全委员会例会,
Summary:
1. 漏洞感知工具进展介绍
2. 社区漏洞处理进展介绍
You can join the meeting at https://zoom.us/j/93616254724?pwd=cGZwU3VPT1plVG5OT0ZnY3ZUWGpjQT09.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.