2022-11-09 会议主题：安全委员会&安全技术sig例会 会议链接：https://us06web.zoom.us/j/86420547843?pwd=ZnMweEprMlk3cGkweG5iS0srQm9SUT09 主持人：毛晨曦 与会人：麒麟软件-崔雷、毛晨曦-SUSE、统信-魏东、魏刚、天翼云-吴开顺、天翼云-游益锋 会议议题： 1、社区漏洞感知情况汇报 - 闫志全 10.12-11.9，报告260条漏洞， 2条误报 2、10月份社区漏洞修复情况 - 颜小兵 (请假，推迟到下一次会议) 10月份发布安全公告56个，修复CVE漏洞117个（其中 Critical 8个，High 57个，其它 52个）。公告不受影响CVE 52个。 3、长时间挂起的CVE处理方式; (https://gitee.com/src-openeuler/httpd/issues/I3W29D?from=project-issue https://www.openeuler.org/zh/security/cve/) 游益锋 建议按季度（每6次会议）review长期挂起的CVE的名单。 查找补丁功能需要CVE-manager定期刷新 Sig定期review CVE。 对于这些CVE，后续需要进行处理： 1. 是否存在直接修复的patch 2. 没有直接修复的patch，根据问题严重性，进行进一步分析，看是否需要进行版本升级或者修复 3. 列出长期挂起清单- 颜小兵 4、候补委员转正投票 - 魏刚 谈静国、毛晨曦 通过转正投票 5、CVE处理流程反馈收集情况（https://gitee.com/openeuler/security-committee/issues/I5VE2C%EF%BC%89%E9%AD%... 润和软件提出增加搜索选项，后续会和基础设施进行沟通 - 魏刚 6、安全委员会运作规范刷新情况 - 魏刚 提交PR（https://gitee.com/openeuler/security-committee/pulls/26%EF%BC%89%EF%BC%8C%E5... 7、openEuler基于SBOM的开源社区软件供应链安全方案实践 分享人：刘波 时长：30分钟 https://www.openeuler.org/zh/blog/robell/openEuler_SBOM_Practice.html https://github.com/opensourceways/sbom-service https://sbom-service.osinfra.cn/#/sbomPackages 遗留问题： 1. 列出CVE长期挂起清单- 颜小兵 2. 下一次例会开始ReviewCVE长期挂起清单

下次会议时间11.23, 主持人：颜小兵