2021-7-7 主持人:魏刚
与会人: 刘金刚,魏刚,颜小兵,郭晓琪,合规SIG-郑志鹏,麒麟软件-崔雷,麒麟软件-王悦良,麒麟软件-侯建,麒麟软件-史景颖,程鑫鑫,中科微澜-闫志全,中科微澜-张晨波,成坚,麒麟软件-韩楠,tian,李孟龙,麒麟软件-刘涛,孙立刚,统信-魏东

【会议议题】
1.漏洞感知工具进展 —— 闫志全
1) 数据跟踪时间点:从漏洞图谱数据源感知原始数据;
2) 数据入库时间点:原始数据经过提取和重构后进入漏洞图谱知识库的时间;
3) 数据过滤时间点:漏洞图谱知识库中的数据经过过滤后判断影响openEuler;
4) 数据推送时间点:最终推送到openEuler社区的时间。
漏洞感知受影响时间方案:根据过滤器过滤结果,判断是否影响openEuler,如果影响,则已数据跟踪时间点作为受影响时间。计划下周开始为库中已有数据记录增加相应字段。
遗留问题:cve-manager需要开始考虑进行相应的调整  -- 颜小兵

2.社区漏洞处理进展 —— 魏刚
1) 漏洞感知: 6/23~7/7两周新增漏洞27个,其中24个源自感知工具,占比 89%
2) 漏洞修复:
本月(6/20至7/7):共推送34个CVE,已解决 24个,其中个16已发布。共解决CVE77个,共发布CVE91个,SA35个。
当前还有151个漏洞未修复,其中7分以上漏洞81个。当前挂起状态的漏洞202个,其中7分以上漏洞84个。
需要继续向漏洞处理设定目标(9分以上7天,7分以上14天,其他30天)努力。
遗留任务:下次TC上通报漏洞处理现状 -- 刘金刚。

3.内核SIG申请更改内核CVE报告路径 —— 成坚
成坚:希望CVE的报告从构建仓库src-openeuler/kernel 迁移到openeuler/kernel源代码仓库,可以让issue的处理更及时,同时可以提高openeuler/kernel源代码仓库的活跃度。
刘金刚/魏刚:CVE报告直接迁移到openeuler/kernel下跟现有流程有较大冲突。建议考虑在现有流程基础上尝试创建后向源代码仓同步CVE,在源码仓处理后向制品仓issue反向同步。
遗留任务:后续跟cve-manager维护者讨论 -- 成坚、魏刚。

4.崔雷转为安全委员会正式成员,杨丽退出安全委员会。

5. 开源软件引入管理:形成开源软件引入规则,对于存在风险的软件采用黑名单管理。 —— 刘金刚
https://gitee.com/openeuler/community/tree/master/zh/technical-committee/governance
分类:
1)存在安全风险的开源软件:如有恶意代码的软件
2)存在专利侵权类的开源项目:如视频、音频、Office类软件,建议针对专利类的每个领域制定白名单
3)扫描类工具的引入和管理:如:TcpReply,ARP

遗留问题:
(1)创建仓库时不进行合规检查,将合规检查移到每一次代码合入的PR中,包括首次建仓的代码合入。 
          遗留问题: 代码合入时合规检查要具有检查压缩包类文件的能力         高琨、郑志鹏
(2)compliance SIG负责专利合规相关的包引入规则整理,重点分析视频、音频、office类开源软件           高琨、郑志鹏
(3)安全委员会负责梳理存在引入开源软件安全风险识别规则,并给出扫描类软件引入和管理的指南         刘金刚、朱建伟

6. 麒麟开始维护3个软件包的CVE处理流程
1) wget/lsof,韩楠/刘涛
2) UKUI问题由崔雷对接
3) cve-manage相关需求(已有CVE查询接口),源码仓提issue,线下讨论

下次安全委员会会议时间:7月21日, 主持人:郭晓琪