时间:2021-4-28 16:00~17:30 主持人:魏刚 与会人:郭晓琪,刘金刚,魏刚,颜小兵,杨丽锦,likaiyuan,中科微澜-闫志 全,电信云-姜少涛,中邮-孟龙
【会议议题】
遗留问题回顾: 当前9分以上漏洞走单包发布流程主要是人为驱动的,应建立自动触发单包发布的 流程(release-sig)。建议在release-sig报个议题,讨论CVE修复完成后自动触 发单包发布流程。- weigang 进展:将以周版本替代单包发布。
1.漏洞感知工具进展 —— 闫志全 (1)数据聚合方式优化:90% (2)包名矩阵优化:60% (3)其它5月份计划的工作:增加推送系统首次感知时间字段,过滤器自动审核, 增加时效性报表 存在问题:由于部分数据源缺少刷新时间,导致识别受影响时间可能为空,从而影 响感知时长计算。需要改进对数据源刷新时间的处理方式。同时建议增加一个公布 到推送的时长统计。
2.社区漏洞处理进展 —— 魏刚 (1)漏洞感知 本周新增漏洞63个,其中58个源自感知工具,占比92% (2)漏洞修复 本月(3/20至4/27)共推送246条CVE,已解决 134个,其中53个已发布 当前还有112个漏洞未修复,其中7分以上漏洞37个 漏洞策略:月度版本发布前将已有4/20前的7分以上CVE跟踪闭环,level1组件的漏 洞全部修复
3. audit升级变更评审 —— 朱健伟 原因:现有版本2.8.5与LTS内核接口的匹配不好,linux-audit包需要升级2.8.5->3.0 下次例会通知各OSV代表参会进行评估。
下次会议时间:5月12日, 主持人:杨丽锦