会议主题：安全委员会&安全技术sig例会

会议链接：https://us06web.zoom.us/j/86420547843?pwd=ZnMweEprMlk3cGkweG5iS0srQm9SUT09

主持人：毛晨曦

与会人：麒麟软件-崔雷、毛晨曦-SUSE、统信-魏东、魏刚、天翼云-吴开顺、天翼云-游益锋

会议议题：

1、社区漏洞感知情况汇报 - 闫志全

     10.12-11.9，报告260条漏洞， 2条误报

2、10月份社区漏洞修复情况 - 颜小兵 (请假，推迟到下一次会议)

      10月份发布安全公告56个，修复CVE漏洞117个（其中 Critical 8个，High 57个，其它 52个）。公告不受影响CVE 52个。

3、长时间挂起的CVE处理方式; (https://gitee.com/src-openeuler/httpd/issues/I3W29D?from=project-issue        https://www.openeuler.org/zh/security/cve/)    游益锋

     建议按季度（每6次会议）review长期挂起的CVE的名单。

     查找补丁功能需要CVE-manager定期刷新

     Sig定期review CVE。

     对于这些CVE，后续需要进行处理：

     1. 是否存在直接修复的patch

     2. 没有直接修复的patch，根据问题严重性，进行进一步分析，看是否需要进行版本升级或者修复

     3. 列出长期挂起清单- 颜小兵

4、候补委员转正投票 - 魏刚

    谈静国、毛晨曦 通过转正投票

5、CVE处理流程反馈收集情况（https://gitee.com/openeuler/security-committee/issues/I5VE2C）魏刚

    润和软件提出增加搜索选项，后续会和基础设施进行沟通 - 魏刚

6、安全委员会运作规范刷新情况 - 魏刚

    提交PR（https://gitee.com/openeuler/security-committee/pulls/26），做线下评审，审核后的版本提交TC审核

7、openEuler基于SBOM的开源社区软件供应链安全方案实践   分享人：刘波  时长：30分钟

https://www.openeuler.org/zh/blog/robell/openEuler_SBOM_Practice.html

https://github.com/opensourceways/sbom-service

https://sbom-service.osinfra.cn/#/sbomPackages

遗留问题：

1. 列出CVE长期挂起清单- 颜小兵

2. 下一次例会开始ReviewCVE长期挂起清单