sig-security例会 2025-03-04 10:00-11:00 发起人:lwj11223344 与会人:TacoJay(张超), lwj11223344(李文杰)、张宁、朱超、陈曾、赵昆航、李文杰 会议平台:WELINK 会议ID:966999678 会议链接:https://meeting.huaweicloud.com:36443/#/j/966999678 Etherpad链接:https://etherpad.openubmc.cn/p/sig-security 议题1:遗留问题进展&近期事务同步 主讲人:李文杰 列席人:李文杰 议题时间:10min 议题内容: 1. 遗留问题审视 2. 近期事务同步 会议纪要: 1. 遗留问题审视 暂无遗留问题 2. 近期事务同步 a. account组件需求方案评审逐步迁移到社区会议 b. 针对security的证书管理与特权代理能力需要逐步提供 议题2:user组件仓更名 主讲人:李文杰 列席人:李文杰 议题时间:10min 议题内容: 将user组件仓更名为account 会议纪要: 已在TC评审, 同意变更 议题3:CVE漏洞管理遗留问题 主讲人:朱超、陈曾、赵昆航、李文杰 列席人:朱超、陈曾、赵昆航、李文杰 议题内容: 1.依赖的开源软件漏洞 -- 赵昆航 a.参考openeuler:做PR门禁(某个PR引入了一个开源软件)限制对有漏洞的开源软件的使用 依赖赵昆航明确方案,利用trivy工具扫描gitcode的源码仓(利用trivy工具扫描conan中心仓无法扫描) 解决策略:1. 推荐升级开源软件的版本;2. mantainer评估风险,手动合入 b.定时扫描全量引入的开源软件,获取CVE清单,自动生成issue c.具体策略待细化(c代码的库函数、python代码对应的包、conan依赖的开源软件) d.需要对漏洞分级,针对不同级别的漏洞来做限制策略 2.社区自身代码漏洞 a.参考openeuler的缺陷管理策略:https://www.openeuler.org/zh/security/bug-bulletins/ 会议纪要: a. 开源软件的漏洞,可以参考opengauss,发送cve公告,具体的开源软件与bmc版本匹配规则,可以基于conan_index/manifest做匹配 -- 杨伟 b. 开源软件漏洞的门禁与自动化处理策略,赵昆航牵头梳理