SC会议纪要 2021-01-13:
漏洞感知系统进展,
主讲人:闫志全
(1)
完成数据源的处理,覆盖NVD和主流Linux社区,可覆盖LTS版本的2762个软件包,覆盖率98.7%。
(2)
新增基于上游社区软件包名称矩阵的漏洞感知方式,软件包名映射矩阵完成66%,其中包括2797个LTS版本软件包。
(3)
本周只向测试环境推送漏洞,未向openEuler社区生产环境推送漏洞。
Liujingang:
(1)
要区分生产环境和测试环境,对于已经完善的过滤器要正常运行起来,例行每天向openEuler社区推送漏洞,后续每周会对推送漏洞的数量、覆盖软件包的数量、漏报率和误报率进行分析,希望经过几个月的运行和调测能够达到24小时内感知上游社区漏洞的能力。
(2)
晓琪会每个月提供openEuler社区不受影响的漏洞数据,可以分析误报的原因,提高漏洞推送的准确率
社区漏洞处理进展,
主讲人:刘金刚
(1)
当前社区共有44个漏洞未修复,其中kernel漏洞有22个,占比50%。有171个挂起的漏洞,安全委员会和SIG
maintianer持续跟踪上游社区漏洞修复情况。
(2)
安全委员会针对存在漏洞的SIG划分责任田,责任田负责跟踪各个SIG的漏洞修复情况,可以协助maintainer开展7分以上漏洞的分析、重评估和修复。
Guoxiaoqi:
(1)下次例会可以找maintainer代表夏森林分享CVE修复的经验,我(晓琪)分享如何与maintainer协同完成漏洞的修复。
(2)责任田在协同SIG处理漏洞的同时,可以根据参与人员的兴趣,推荐各个SIG的安全联络人。
Yanglijin:
对于漏洞影响较高的软件版本,当前社区版本不受影响CVE
ISSUE被关闭的情况,如果软件包升级后如何重新激活CVE ISSUE?
建议:可以通过包引入时安全漏洞来解决这个问题,给sa-manager提一个包引入漏洞扫描场景的需求。
|
软件仓名称 |
待办的 |
进行中 |
已挂起 |
总计 |
SIG |
责任田 |
备注 |
|
src-openEuler/apache-commons-ognl |
1 |
|
|
1 |
sig-Java |
刘金刚 |
|
|
src-openEuler/autotrace |
|
|
52 |
52 |
Private |
刘金刚 |
计划剥离 |
|
src-openEuler/binutils |
|
|
1 |
1 |
Base-service |
晓琪 |
|
|
src-openEuler/cpio |
|
|
1 |
1 |
DB |
晓琪 |
|
|
src-openEuler/curl |
1 |
|
|
1 |
Networking |
晓琪 |
|
|
src-openEuler/eclipse-ecf |
|
|
1 |
1 |
sig-java |
刘金刚 |
|
|
src-openEuler/firefox |
0 |
|
71 |
71 |
Application |
丽锦 |
已报备 |
|
src-openEuler/flex |
|
|
2 |
2 |
Base-service |
晓琪 |
|
|
src-openEuler/glibc |
1 |
|
4 |
5 |
sig-RISC-V |
小兵 |
|
|
src-openEuler/golang |
1 |
|
|
1 |
sig-golang |
小兵 |
|
|
src-openEuler/graphviz |
1 |
|
|
1 |
Desktop |
丽锦 |
|
|
src-openEuler/hdf5 |
|
|
17 |
17 |
Runtime |
小兵 |
已报备 |
|
src-openEuler/hunspell |
1 |
|
|
1 |
Desktop |
丽锦 |
|
|
src-openEuler/ImageMagick |
1 |
|
|
1 |
Others |
刘金刚 |
|
|
src-openEuler/infinispan |
1 |
|
|
1 |
sig-java |
刘金刚 |
|
|
src-openEuler/jackson-databind |
3 |
|
|
3 |
sig-java |
刘金刚 |
|
|
src-openEuler/javamail |
|
|
1 |
1 |
Application |
丽锦 |
|
|
src-openEuler/jetty |
4 |
|
|
4 |
private |
刘金刚 |
|
|
src-openEuler/kernel |
|
22 |
9 |
31 |
kernel |
魏刚、健伟 |
|
|
src-openEuler/kubernetes |
|
|
1 |
1 |
Container |
魏刚 |
|
|
src-openEuler/libdb |
|
|
3 |
3 |
Base-service |
晓琪 |
|
|
src-openEuler/libvirt |
1 |
|
|
1 |
virt |
健伟 |
|
|
src-openEuler/openssh |
|
|
2 |
2 |
Networking |
晓琪 |
|
|
src-openEuler/openssl |
1 |
|
|
1 |
sig-security-facility |
健伟 |
|
|
src-openEuler/pcre |
|
|
1 |
1 |
Base-service |
晓琪 |
|
|
src-openEuler/procmail |
|
|
1 |
1 |
Networking |
晓琪 |
|
|
src-openEuler/python3 |
|
1 |
|
1 |
Base-service |
晓琪 |
|
|
src-openEuler/python-beaker |
|
|
1 |
1 |
Base-service |
晓琪 |
|
|
src-openEuler/python-pandas |
|
|
1 |
1 |
Others |
刘金刚 |
|
|
src-openEuler/qemu |
1 |
|
2 |
3 |
virt |
健伟 |
|
|
src-openEuler/squid |
1 |
|
|
1 |
Networking |
晓琪 |
|
|
src-openEuler/thrift |
2 |
|
|
2 |
Base-service |
晓琪 |
|
|
总计 |
21 |
23 |
171 |
215 |
|
|
|
安全委员会运作,
主讲人:刘金刚
安全委员会成员每周轮值,轮值内容包括:
(1)跟踪社区每日新增漏洞,根据漏洞CVSS打分设定处理优先级,
9分以上漏洞需指定安全委员会专人跟踪。
(2)组织安全委员会周例会
(3)轮值顺序:
liujingang09@huawei.com [@liujingang09]
yanxiaobing@huawei.com [@yanxiaobing2020]
(1月20日)
zhujianwei7@huawei.com [@zhujianwei001]
guoxiaoqi2@huawei.com [@guoxiaoqi]
yanglijin@huawei.com [@jinjin]
From: openEuler conference [mailto:public@openeuler.io]
Sent: Tuesday, January 12, 2021 5:58 PM
To: dev@openeuler.org; tc@openeuler.org; openeuler-security@openeuler.org
Subject: [openeuler-security] 安全委员会例会
您好!
openEuler security-committee SIG
邀请您参加 2021-01-13 16:00
召开的ZOOM会议
会议主题:安全委员会例会
会议内容:
1、漏洞感知工具进展介绍
2、社区漏洞处理进展介绍
3、安全委员会运作规则讨论
会议链接:https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-01-13 16:00,
The subject of the conference is
安全委员会例会,
Summary:
1、漏洞感知工具进展介绍
2、社区漏洞处理进展介绍
3、安全委员会运作规则讨论
You can join the meeting at
https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09.