SC会议纪要 2021-01-13:
漏洞感知系统进展, 主讲人:闫志全
(1) 完成数据源的处理,覆盖NVD和主流Linux社区,可覆盖LTS版本的2762个软件包,覆盖率98.7%。
(2) 新增基于上游社区软件包名称矩阵的漏洞感知方式,软件包名映射矩阵完成66%,其中包括2797个LTS版本软件包。
(3) 本周只向测试环境推送漏洞,未向openEuler社区生产环境推送漏洞。 Liujingang:
(1) 要区分生产环境和测试环境,对于已经完善的过滤器要正常运行起来,例行每天向openEuler社区推送漏洞,后续每周会对推送漏洞的数量、覆盖软件包的数量、漏报率和误报率进行分析,希望经过几个月的运行和调测能够达到24小时内感知上游社区漏洞的能力。
(2) 晓琪会每个月提供openEuler社区不受影响的漏洞数据,可以分析误报的原因,提高漏洞推送的准确率 社区漏洞处理进展, 主讲人:刘金刚
(1) 当前社区共有44个漏洞未修复,其中kernel漏洞有22个,占比50%。有171个挂起的漏洞,安全委员会和SIG maintianer持续跟踪上游社区漏洞修复情况。
(2) 安全委员会针对存在漏洞的SIG划分责任田,责任田负责跟踪各个SIG的漏洞修复情况,可以协助maintainer开展7分以上漏洞的分析、重评估和修复。 Guoxiaoqi: (1)下次例会可以找maintainer代表夏森林分享CVE修复的经验,我(晓琪)分享如何与maintainer协同完成漏洞的修复。 (2)责任田在协同SIG处理漏洞的同时,可以根据参与人员的兴趣,推荐各个SIG的安全联络人。 Yanglijin: 对于漏洞影响较高的软件版本,当前社区版本不受影响CVE ISSUE被关闭的情况,如果软件包升级后如何重新激活CVE ISSUE? 建议:可以通过包引入时安全漏洞来解决这个问题,给sa-manager提一个包引入漏洞扫描场景的需求。 软件仓名称
待办的
进行中
已挂起
总计
SIG
责任田
备注
src-openEuler/apache-commons-ognl
1
1
sig-Java
刘金刚
src-openEuler/autotrace
52
52
Private
刘金刚
计划剥离
src-openEuler/binutils
1
1
Base-service
晓琪
src-openEuler/cpio
1
1
DB
晓琪
src-openEuler/curl
1
1
Networking
晓琪
src-openEuler/eclipse-ecf
1
1
sig-java
刘金刚
src-openEuler/firefox
0
71
71
Application
丽锦
已报备
src-openEuler/flex
2
2
Base-service
晓琪
src-openEuler/glibc
1
4
5
sig-RISC-V
小兵
src-openEuler/golang
1
1
sig-golang
小兵
src-openEuler/graphviz
1
1
Desktop
丽锦
src-openEuler/hdf5
17
17
Runtime
小兵
已报备
src-openEuler/hunspell
1
1
Desktop
丽锦
src-openEuler/ImageMagick
1
1
Others
刘金刚
src-openEuler/infinispan
1
1
sig-java
刘金刚
src-openEuler/jackson-databind
3
3
sig-java
刘金刚
src-openEuler/javamail
1
1
Application
丽锦
src-openEuler/jetty
4
4
private
刘金刚
src-openEuler/kernel
22
9
31
kernel
魏刚、健伟
src-openEuler/kubernetes
1
1
Container
魏刚
src-openEuler/libdb
3
3
Base-service
晓琪
src-openEuler/libvirt
1
1
virt
健伟
src-openEuler/openssh
2
2
Networking
晓琪
src-openEuler/openssl
1
1
sig-security-facility
健伟
src-openEuler/pcre
1
1
Base-service
晓琪
src-openEuler/procmail
1
1
Networking
晓琪
src-openEuler/python3
1
1
Base-service
晓琪
src-openEuler/python-beaker
1
1
Base-service
晓琪
src-openEuler/python-pandas
1
1
Others
刘金刚
src-openEuler/qemu
1
2
3
virt
健伟
src-openEuler/squid
1
1
Networking
晓琪
src-openEuler/thrift
2
2
Base-service
晓琪
总计
21
23
171
215
安全委员会运作, 主讲人:刘金刚 安全委员会成员每周轮值,轮值内容包括: (1)跟踪社区每日新增漏洞,根据漏洞CVSS打分设定处理优先级, 9分以上漏洞需指定安全委员会专人跟踪。 (2)组织安全委员会周例会 (3)轮值顺序:
liujingang09@huawei.commailto:liujingang09@huawei.com [@liujingang09https://gitee.com/liujingang09]
yanxiaobing@huawei.commailto:yanxiaobing@huawei.com [@yanxiaobing2020https://gitee.com/yanxiaobing2020] (1月20日)
zhujianwei7@huawei.commailto:zhujianwei7@huawei.com [@zhujianwei001https://gitee.com/zhujianwei001]
11015100@qq.commailto:11015100@qq.com [@gwei3https://gitee.com/gwei3]
guoxiaoqi2@huawei.commailto:guoxiaoqi2@huawei.com [@guoxiaoqihttps://gitee.com/guoxiaoqi]
yanglijin@huawei.commailto:yanglijin@huawei.com [@jinjinhttps://gitee.com/jinjin]
From: openEuler conference [mailto:public@openeuler.io] Sent: Tuesday, January 12, 2021 5:58 PM To: dev@openeuler.org; tc@openeuler.org; openeuler-security@openeuler.org Subject: [openeuler-security] 安全委员会例会
您好!
openEuler security-committee SIG 邀请您参加 2021-01-13 16:00 召开的ZOOM会议
会议主题:安全委员会例会
会议内容:
1、漏洞感知工具进展介绍
2、社区漏洞处理进展介绍
3、安全委员会运作规则讨论
会议链接:https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09
更多资讯尽在:https://openeuler.org/zh/
Hello!
openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-01-13 16:00,
The subject of the conference is 安全委员会例会,
Summary:
1、漏洞感知工具进展介绍
2、社区漏洞处理进展介绍
3、安全委员会运作规则讨论
You can join the meeting at https://zoom.us/j/96755448449?pwd=ZjE3bHMrRzlQVVdxK2JkQ0JERW0yZz09.
More informationhttps://openeuler.org/zh/
-
Liujingang (Bob)