2022-11-09
会议主题:安全委员会&安全技术sig例会
会议链接:https://us06web.zoom.us/j/86420547843?pwd=ZnMweEprMlk3cGkweG5iS0srQm9SUT09
主持人:毛晨曦
与会人:麒麟软件-崔雷、毛晨曦-SUSE、统信-魏东、魏刚、天翼云-吴开顺、天翼云-游益锋
会议议题:
1、社区漏洞感知情况汇报 - 闫志全
10.12-11.9,报告260条漏洞, 2条误报
2、10月份社区漏洞修复情况 - 颜小兵 (请假,推迟到下一次会议)
10月份发布安全公告56个,修复CVE漏洞117个(其中 Critical 8个,High 57个,其它 52个)。公告不受影响CVE 52个。
3、长时间挂起的CVE处理方式; (https://gitee.com/src-openeuler/httpd/issues/I3W29D?from=project-issue https://www.openeuler.org/zh/security/cve/) 游益锋
建议按季度(每6次会议)review长期挂起的CVE的名单。
查找补丁功能需要CVE-manager定期刷新
Sig定期review CVE。
对于这些CVE,后续需要进行处理:
1. 是否存在直接修复的patch
2. 没有直接修复的patch,根据问题严重性,进行进一步分析,看是否需要进行版本升级或者修复
3. 列出长期挂起清单- 颜小兵
4、候补委员转正投票 - 魏刚
谈静国、毛晨曦 通过转正投票
5、CVE处理流程反馈收集情况(https://gitee.com/openeuler/security-committee/issues/I5VE2C)魏刚
润和软件提出增加搜索选项,后续会和基础设施进行沟通 - 魏刚
6、安全委员会运作规范刷新情况 - 魏刚
提交PR(https://gitee.com/openeuler/security-committee/pulls/26),做线下评审,审核后的版本提交TC审核
7、openEuler基于SBOM的开源社区软件供应链安全方案实践 分享人:刘波 时长:30分钟
https://www.openeuler.org/zh/blog/robell/openEuler_SBOM_Practice.html
https://github.com/opensourceways/sbom-service
https://sbom-service.osinfra.cn/#/sbomPackages
遗留问题:
1. 列出CVE长期挂起清单- 颜小兵
2. 下一次例会开始ReviewCVE长期挂起清单
下次会议时间11.23, 主持人:颜小兵