安全委员会例会纪要

会议时间:2021-3-17

与会人:中邮信科-马德斌、北明-卢宇威、统信-张少宁、中科微澜-张晨波、麒麟-崔雷、杨丽锦、郭晓琪、朱建伟、魏刚、刘金刚

纪要人:刘金刚

 

遗留问题:

- 存在漏洞在LTS版本中已修复,但漏发SA的情况,这种情况应补发SA,同时需要分析问题引入的原因并细化解决方案,并刷新到漏洞处理FAQ中。- yanglijin, liujinggang

   进展: 本周无进展,324日前给出解决方案并完成FAQ的刷新。

- 当前9分以上漏洞走单包发布流程主要是人为驱动的,应建立自动触发单包发布的流程(release-sig)。建议在release-sig报个议题,讨论CVE修复完成后自动触发单包发布流程。- weigang  

   进展:与基础架构进行交流,基础设施团队给出单包发布流程的方案,在release sig例会进行讨论

 

会议议题:

一、社区漏洞感知工具进展    主讲人:张晨波

1.漏洞感知工具进展:目前正在进行系统稳定性工作,进度在70%-90%,预计这周完成。

后续主要工作:优化时效性、日报周报功能、补充数据来源字段、定时过滤全量数据、补充startversion字段,提高过滤器准确性、针对漏洞基数大的软件包单独处理漏报误报统计、记录漏洞history、处理高热度漏洞。

遗留任务

1  系统要实现24小时正常运行,系统异常不要超过12小时,以确保24小时漏洞感知能力。                  

2)当前与24小时感知能力还有较大差距,需要系统梳理Vtopia各个模块间数据流的时延,去掉不必要的定时任务,优化或自动化人工审核方案,在3月底达成24小时漏洞感知能力。

3)持续的分析漏洞报的情况,降低漏报率,漏报率第一目标值小于85%

 

二、社区漏洞处理进展   主讲人:刘金刚

1. 漏洞感知:本双周新增漏洞96个(严重5个,主要的47个),其中72个源自感知工具,占比75%,贡献者提交的24个漏洞,其中有效漏洞19个,感知工具漏报率:20.9% 

2. 漏洞修复:

1) 已修复:本月修复了33个漏洞,涉及25个软件包,本周应发布版本修复7分以上漏洞。

2) 待修复:当前社区还有90个漏洞未修复(严重0个、主要48个,次要39个,不重要3个),其中7grub2漏洞风险较高,建议本周发布修复版本。

遗留任务openEuler漏洞处理质量看板预计在3月底上线,下次例会介绍一下看板的度量指标和功能展示      --汪奕如 

 

三、 openwall安全工具分析  主讲人:郭晓琪

1passwdqc功能:(1)判断密码是否符合复杂度要求,密码要求可配置;(2)生成符合要求的随机密码,密码要求可配置;(3)提供pam模块用以验证密码复杂度,密码要求可配置

  结论:不需要引入到openEuler社区。

2phpass功能:可移植的PHP密码哈希框架/usr/share/php/phpass/PasswordHash.php

   结论:不需要引入到openEuler社区。

3tcb功能:(1)备用密码屏蔽方案,作为/etc/shadow的替代;(2pam_tcb作为pam_unix的替代,密码认证模块  

遗留任务:调查与pam_unix的区别及业界发展趋势,再分析是否需要引入  —— 郭晓琪

 

下次安全委员会会议时间:324日, 主持人:颜小兵

 

 

From: openEuler conference [mailto:public@openeuler.io]
Sent: Tuesday, March 16, 2021 11:32 AM
To: dev@openeuler.org; openeuler-security@openeuler.org; tc@openeuler.org
Subject: [openeuler-security] openeuler
安全委员会例会

 

您好!

openEuler security-committee SIG 邀请您参加 2021-03-17 16:00 召开的ZOOM会议(自动录制)

会议主题:openeuler安全委员会例会

会议内容:
1. 漏洞感知工具进展介绍
2. 社区漏洞处理进展介绍

会议链接:https://zoom.us/j/93616254724?pwd=cGZwU3VPT1plVG5OT0ZnY3ZUWGpjQT09

温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.comID

更多资讯尽在:https://openeuler.org/zh/

 

Hello!

openEuler security-committee SIG invites you to attend the ZOOM conference(auto recording) will be held at 2021-03-17 16:00,

The subject of the conference is openeuler安全委员会例会,

Summary: 
1. 漏洞感知工具进展介绍
2. 社区漏洞处理进展介绍

You can join the meeting at https://zoom.us/j/93616254724?pwd=cGZwU3VPT1plVG5OT0ZnY3ZUWGpjQT09.

Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.

More information