安全委员会例会纪要

会议时间：2021-3-17

与会人：中邮信科-马德斌、北明-卢宇威、统信-张少宁、中科微澜-张晨波、麒麟-崔雷、杨丽锦、郭晓琪、朱建伟、魏刚、刘金刚

纪要人：刘金刚

遗留问题：

- 存在漏洞在LTS版本中已修复，但漏发SA的情况，这种情况应补发SA，同时需要分析问题引入的原因并细化解决方案，并刷新到漏洞处理FAQ中。- yanglijin, liujinggang

   进展： 本周无进展，3月24日前给出解决方案并完成FAQ的刷新。

- 当前9分以上漏洞走单包发布流程主要是人为驱动的，应建立自动触发单包发布的流程（release-sig）。建议在release-sig报个议题，讨论CVE修复完成后自动触发单包发布流程。- weigang  

   进展：与基础架构进行交流，基础设施团队给出单包发布流程的方案，在release sig例会进行讨论

会议议题：

一、社区漏洞感知工具进展    主讲人：张晨波

1.漏洞感知工具进展：目前正在进行系统稳定性工作，进度在70%-90%，预计这周完成。

后续主要工作：优化时效性、日报周报功能、补充数据来源字段、定时过滤全量数据、补充startversion字段，提高过滤器准确性、针对漏洞基数大的软件包单独处理漏报误报统计、记录漏洞history、处理高热度漏洞。

遗留任务：

1  系统要实现24小时正常运行，系统异常不要超过12小时，以确保24小时漏洞感知能力。                  

2）当前与24小时感知能力还有较大差距，需要系统梳理Vtopia各个模块间数据流的时延，去掉不必要的定时任务，优化或自动化人工审核方案，在3月底达成24小时漏洞感知能力。

3）持续的分析漏洞报的情况，降低漏报率，漏报率第一目标值小于85%。

二、社区漏洞处理进展   主讲人：刘金刚

1. 漏洞感知：本双周新增漏洞96个（严重5个，主要的47个），其中72个源自感知工具，占比75%，贡献者提交的24个漏洞，其中有效漏洞19个，感知工具漏报率：20.9%。 

2. 漏洞修复：

1） 已修复：本月修复了33个漏洞，涉及25个软件包，本周应发布版本修复7分以上漏洞。

2） 待修复：当前社区还有90个漏洞未修复（严重0个、主要48个，次要39个，不重要3个），其中7个grub2漏洞风险较高，建议本周发布修复版本。

遗留任务：openEuler漏洞处理质量看板预计在3月底上线，下次例会介绍一下看板的度量指标和功能展示      --汪奕如 

三、 openwall安全工具分析  主讲人：郭晓琪

1、passwdqc功能：（1）判断密码是否符合复杂度要求，密码要求可配置；（2）生成符合要求的随机密码，密码要求可配置；（3）提供pam模块用以验证密码复杂度，密码要求可配置

  结论：不需要引入到openEuler社区。

2、phpass功能：可移植的PHP密码哈希框架/usr/share/php/phpass/PasswordHash.php

   结论：不需要引入到openEuler社区。

3、tcb功能：（1）备用密码屏蔽方案，作为/etc/shadow的替代；（2）pam_tcb作为pam_unix的替代，密码认证模块  

遗留任务：调查与pam_unix的区别及业界发展趋势，再分析是否需要引入  —— 郭晓琪

下次安全委员会会议时间：3月24日， 主持人：颜小兵

会议内容：

1. 漏洞感知工具进展介绍

2. 社区漏洞处理进展介绍

Summary: 

1. 漏洞感知工具进展介绍

2. 社区漏洞处理进展介绍