2021-8-25
主持人:刘金刚
与会人:
刘金刚、崔雷(麒麟)、魏刚、刘凯(suse)、李孟龙、魏东(统信)、闫志全、朱建伟、张建均、姚鑫、iamwja、杨丽锦、gyy(苏州移动)、
会议内容:
1.
漏洞感知漏报分析:
非漏洞感知系统提交漏洞的结果分析
闫志全
分享感知系统漏报情况进行分析,主要是因为两个原因:
(1)
不支持邮件类非结构化漏洞源,导致感知遗漏
(2)
推送时间晚于人工提交issue的时间
建议2021年感知系统目标误报率和漏报率小于15%。
2. openEuler漏洞处理进展通报
刘金刚
漏洞感知:7月份:新增123个漏洞,有效漏洞81个(其中Vtopia上报54个),误报率是34%,漏报率33%
8月份:新增169个漏洞,Vtopia上报122个,漏报率28%
漏洞修复:7月份:修复73个漏洞,其中SLO范围内修复漏洞70个,达成率为95.8%,
8月份:新增59个漏洞,有20个已经在SLO范围内修复。
3. CVRF解析器介绍
崔雷
介绍麒麟软件CVRF生成模块的设计和功能。
(1)确认将CVRF生成器开源的时间
崔雷
(2)在cve-manager中开发CVRF解析模块和CVRF生成模块,供OSV和客户通过模块开发同openEuler机机对接的程序。
张建均、崔雷、刘金刚
4.
因修复CVE-2020-35864漏洞需升级Flatbuffers,升级接口变更分析介绍
姚鑫
接口变更说明: https://gitee.com/src-openeuler/flatbuffers/pulls/3
结论: Flatbuffers无依赖软件包,可以采用升级方式修复漏洞。
From: Liujingang (Bob) [mailto:liujingang09@huawei.com]
Sent: Wednesday, August 25, 2021 10:23 AM
To: openeuler-security@openeuler.org; tc@openeuler.org; dev@openeuler.org
Subject: [openeuler-security] 会议议题 \\ RE:
安全委员会&安全SIG双周例会
会议议题:
1.
漏洞感知漏报分析:
非漏洞感知系统提交漏洞的结果分析 闫志全
2.
openEuler漏洞处理进展通报
刘金刚
3.
CVRF解析器介绍
崔雷
4.
因修复CVE-2020-35864漏洞需升级Flatbuffers,升级接口变更分析介绍
姚鑫
From: openEuler conference [mailto:public@openeuler.org]
Sent: Monday, August 23, 2021 10:24 AM
To: openeuler-security@openeuler.org;
tc@openeuler.org;
dev@openeuler.org
Subject: [openeuler-security] 安全委员会&安全SIG双周例会
您好!
openEuler security-committee SIG 邀请您参加 2021-08-25 16:00
召开的ZOOM会议
会议主题:安全委员会&安全SIG双周例会
会议链接:https://us06web.zoom.us/j/85365874339?pwd=dzF1TS9Cc0d1dXVSeDY4emZzYjBIUT09
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-08-25 16:00,
The subject of the conference is 安全委员会&安全SIG双周例会,
You can join the meeting at
https://us06web.zoom.us/j/85365874339?pwd=dzF1TS9Cc0d1dXVSeDY4emZzYjBIUT09.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.