安全委员会例会纪要
会议时间:2021-3-24
与会人:刘金刚、统信-张绍宁、麒麟-崔雷、中科微澜-闫志全、朱建伟、魏刚、颜小兵、郭晓琪、杨丽锦、汪奕如、朱俊豪
纪要人:颜小兵
【会议议题】
一、漏洞感知工具进展 主讲人:闫志全
1、介绍了漏洞感知工具当前的优化进展,包括灾备方案的实施进展和漏洞推送时效性优化的进展;
2、感知工具漏洞数据推送前的人工审核改造成自动化审核,需要在3月31日上线。如果无法达成,则要求每天进行两次人工审核后推送,以保证漏洞推送的时效要求。
二、社区漏洞处理进展 主讲人:颜小兵
1. 漏洞感知:本周新增漏洞29个(严重2个,主要的15个),其中19个源自感知工具,占比65%,贡献者提交的10个漏洞,其中有效漏洞28个,感知工具漏报率:35%。
2. 漏洞修复:
1) 待修复:当前社区还有152个漏洞未修复(严重7个、主要62个,其它79个),其中146个代码已修改,待出版本,6个待修改。需要尽快出补丁版本。
2) 严重漏洞计划3月26日发布单包补丁,其它漏洞计划3月31日发布月度补丁。
三、21.03创新版本CVE清零进展
主讲人:杨丽锦
1、本次使用二进制扫描工具共扫描到cve 761个,已确认在21.03分支修复完成。从Vtopic推送的漏洞中过滤出影响21.03版本的CVE除CVE-2021-28116,其余均已修复。
2、CVE-2021-28116
是squid的漏洞,启用WCCP协议时受影响,当前默认未启用WCCP协议,同时上游社区无修复方案,安全委员会同意报备,暂不解决,继续跟踪社区的解决进展。
4.CVRF格式SA对接分享;
主讲人:崔雷
1)介绍麒麟软件漏洞管理工具与openEuler CVRF对接的优秀实践;
2)由麒麟软件崔雷作为openEuler社区CVRF格式模板维护的owner;
5.openEuler漏洞指标看板进展;
主讲人:汪奕如
1)介绍openEuler漏洞指标看板的开发进展。
2)建议漏洞指标的单位要做统一,漏洞指标的命名要清晰,建议后续增加统计报表;
遗留问题:
1、Vtopic 3月22日推送的漏洞,感知时长大于24小时的CVE,需要分析原因。--
闫志全
2、漏洞处理进展议题每次需要主讲人提前人工整理统计CVE数据,考虑工具化生成方案。--
颜小兵、张建均
3、建议增加统计报表 ---
刘金刚、汪奕如
From: openEuler conference [mailto:public@openeuler.io]
Sent: Monday, March 22, 2021 8:35 PM
To: dev@openEuler.org; openEuler-security@openEuler.org; tc@openEuler.org
Subject: [openeuler-security] openEuler安全委员会例会
您好!
openEuler security-committee SIG 邀请您参加 2021-03-24 16:00
召开的ZOOM会议
会议主题:openEuler安全委员会例会
会议内容:1. 漏洞感知优化进展;
2.社区漏洞处理进展;
有其它议题,欢迎申报。
会议链接:https://zoom.us/j/98230650603?pwd=cGNOZ3hwSzNoTWZCV3VYZ3RmL3A3UT09
温馨提醒:建议接入会议后修改参会人的姓名,也可以使用您在gitee.com的ID
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-03-24 16:00,
The subject of the conference is openEuler安全委员会例会,
Summary: 1. 漏洞感知优化进展;
2.社区漏洞处理进展;
有其它议题,欢迎申报。
You can join the meeting at
https://zoom.us/j/98230650603?pwd=cGNOZ3hwSzNoTWZCV3VYZ3RmL3A3UT09.
Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.