安全委员会例会纪要 会议时间：2021-3-24 与会人：刘金刚、统信-张绍宁、麒麟-崔雷、中科微澜-闫志全、朱建伟、魏刚、颜小兵、郭晓琪、杨丽锦、汪奕如、朱俊豪 纪要人：颜小兵 【会议议题】 一、漏洞感知工具进展 主讲人：闫志全 1、介绍了漏洞感知工具当前的优化进展，包括灾备方案的实施进展和漏洞推送时效性优化的进展； 2、感知工具漏洞数据推送前的人工审核改造成自动化审核，需要在3月31日上线。如果无法达成，则要求每天进行两次人工审核后推送，以保证漏洞推送的时效要求。

二、社区漏洞处理进展 主讲人：颜小兵 1. 漏洞感知：本周新增漏洞29个（严重2个，主要的15个），其中19个源自感知工具，占比65%，贡献者提交的10个漏洞，其中有效漏洞28个，感知工具漏报率：35%。 2. 漏洞修复： 1） 待修复：当前社区还有152个漏洞未修复（严重7个、主要62个，其它79个），其中146个代码已修改，待出版本，6个待修改。需要尽快出补丁版本。 2） 严重漏洞计划3月26日发布单包补丁，其它漏洞计划3月31日发布月度补丁。

三、21.03创新版本CVE清零进展 主讲人：杨丽锦 1、本次使用二进制扫描工具共扫描到cve 761个，已确认在21.03分支修复完成。从Vtopic推送的漏洞中过滤出影响21.03版本的CVE除CVE-2021-28116，其余均已修复。 2、CVE-2021-28116 是squid的漏洞，启用WCCP协议时受影响，当前默认未启用WCCP协议，同时上游社区无修复方案，安全委员会同意报备，暂不解决，继续跟踪社区的解决进展。

4.CVRF格式SA对接分享； 主讲人：崔雷 1）介绍麒麟软件漏洞管理工具与openEuler CVRF对接的优秀实践； 2）由麒麟软件崔雷作为openEuler社区CVRF格式模板维护的owner；

5.openEuler漏洞指标看板进展； 主讲人：汪奕如 1）介绍openEuler漏洞指标看板的开发进展。 2）建议漏洞指标的单位要做统一，漏洞指标的命名要清晰，建议后续增加统计报表；

遗留问题： 1、Vtopic 3月22日推送的漏洞，感知时长大于24小时的CVE，需要分析原因。-- 闫志全 2、漏洞处理进展议题每次需要主讲人提前人工整理统计CVE数据，考虑工具化生成方案。-- 颜小兵、张建均 3、建议增加统计报表 --- 刘金刚、汪奕如

From: openEuler conference [mailto:public@openeuler.io] Sent: Monday, March 22, 2021 8:35 PM To: dev@openEuler.org; openEuler-security@openEuler.org; tc@openEuler.org Subject: [openeuler-security] openEuler安全委员会例会

您好！

openEuler security-committee SIG 邀请您参加 2021-03-24 16:00 召开的ZOOM会议

会议主题：openEuler安全委员会例会

会议内容：1. 漏洞感知优化进展；

2.社区漏洞处理进展；

有其它议题，欢迎申报。

会议链接：https://zoom.us/j/98230650603?pwd=cGNOZ3hwSzNoTWZCV3VYZ3RmL3A3UT09

温馨提醒：建议接入会议后修改参会人的姓名，也可以使用您在gitee.com的ID

更多资讯尽在：https://openeuler.org/zh/

Hello!

openEuler security-committee SIG invites you to attend the ZOOM conference will be held at 2021-03-24 16:00,

The subject of the conference is openEuler安全委员会例会,

Summary: 1. 漏洞感知优化进展；

2.社区漏洞处理进展；

有其它议题，欢迎申报。

You can join the meeting at https://zoom.us/j/98230650603?pwd=cGNOZ3hwSzNoTWZCV3VYZ3RmL3A3UT09.

Note: You are advised to change the participant name after joining the conference or use your ID at gitee.com.

More informationhttps://openeuler.org/zh/