[Security] sig-security例会-安全sig无效仓库清理 2025-03-25 11:00-11:30

25 Mar 2025

      sig-security例会-安全sig无效仓库清理 2025-03-25 11:00-11:30

发起人：lwj11223344
与会人：lwj11223344(李文杰)、彭祥麟、鄢川杰、陈宇波、陆一洲
会议平台：WELINK
会议ID：989638528
会议链接：https://meeting.huaweicloud.com:36443/#/j/989638528
Etherpad链接：https://etherpad.openubmc.cn/p/sig-security

议题1：遗留问题进展&近期事务同步
主讲人：李文杰
列席人：李文杰
议题时间：10min
议题内容：
1. Q2安全特性审视：
   a. 支持互联网的定制化特性，如（kvm登陆接口等）
   b. 支持Redfish下的证书认证

议题2：社区安全测试策略、版本运作、白盒运作事务讨论
主讲人：李文杰
列席人：李文杰、陈宇波、陆一洲、彭祥麟
议题时间：10min
议题内容：
1. 【白盒排查】hardware相关的组件在社区独立排查，剩余部分统一处理；去TC评审此策略
2. 【黑盒测试】跟随qemu的成熟度跟踪
3. 【测试报告】测试报告测试项需要评审；去TC同步策略

议题3：安全sig无效仓库清理
主讲人：李文杰
列席人：李文杰、陆一洲、彭祥麟
议题时间：10min
议题内容：
1. openUBMC/user因组件名称和代码仓名称不一致（已在TC评审），需要将openUBMC/user迁移到openUBMC/account，openUBMC/user仓废弃，openUBMC/user相关issue迁移到openUBMC/account
2. openUBMC/capability_agent、openUBMC/certificate_mgmt、openUBMC/iam_lite能力太弱，需要使用完整能力的组件替换
certificate_mgmt使用certificate二进制组件替换，openUBMC/certificate_mgmt废弃
capability_agent使用capability_proxy二进制组件替换，openUBMC/capability_agent废弃
openUBMC/iam_lite暂不调整（策略待定）

--------------------------------------------------------------------------------------------------------------------------------------

sig-security例会 2025-03-18 10:30-11:00

发起人：lwj11223344
与会人：lwj11223344(李文杰)
会议平台：WELINK
会议ID：960352733
会议链接：https://meeting.huaweicloud.com:36443/#/j/960352733
Etherpad链接：https://etherpad.openubmc.cn/p/sig-security
本次会议无申报议题，会议顺延

------------------ 原始邮件 ------------------
发件人:                                                                                                                        "李文杰"                                                                                    <348808705@qq.com>;
发送时间: 2025年3月4日(星期二) 中午11:50
收件人: "security"<security@public.openubmc.cn>;

主题: sig-security例会 2025-03-04 10:00-11:00

sig-security例会 2025-03-04 10:00-11:00
发起人：lwj11223344
与会人：TacoJay(张超)， lwj11223344(李文杰)、张宁、朱超、陈曾、赵昆航、李文杰
会议平台：WELINK
会议ID：966999678
会议链接：https://meeting.huaweicloud.com:36443/#/j/966999678
Etherpad链接：https://etherpad.openubmc.cn/p/sig-security

议题1：遗留问题进展&近期事务同步
主讲人：李文杰
列席人：李文杰
议题时间：10min
议题内容：
1.  遗留问题审视
2. 近期事务同步
会议纪要：
1.  遗留问题审视
暂无遗留问题
2. 近期事务同步
a. account组件需求方案评审逐步迁移到社区会议
b. 针对security的证书管理与特权代理能力需要逐步提供

议题2：user组件仓更名
主讲人：李文杰
列席人：李文杰
议题时间：10min
议题内容：
将user组件仓更名为account
会议纪要：
已在TC评审， 同意变更

议题3：CVE漏洞管理遗留问题
主讲人：朱超、陈曾、赵昆航、李文杰
列席人：朱超、陈曾、赵昆航、李文杰
议题内容：
1.依赖的开源软件漏洞  -- 赵昆航
    a.参考openeuler：做PR门禁（某个PR引入了一个开源软件）限制对有漏洞的开源软件的使用
       依赖赵昆航明确方案，利用trivy工具扫描gitcode的源码仓（利用trivy工具扫描conan中心仓无法扫描）
       解决策略：1. 推荐升级开源软件的版本；2. mantainer评估风险，手动合入
    b.定时扫描全量引入的开源软件，获取CVE清单，自动生成issue
    c.具体策略待细化（c代码的库函数、python代码对应的包、conan依赖的开源软件）
    d.需要对漏洞分级，针对不同级别的漏洞来做限制策略
2.社区自身代码漏洞
    a.参考openeuler的缺陷管理策略：https://www.openeuler.org/zh/security/bug-bulletins/

会议纪要：
a. 开源软件的漏洞，可以参考opengauss，发送cve公告，具体的开源软件与bmc版本匹配规则，可以基于conan_index/manifest做匹配   -- 杨伟
b. 开源软件漏洞的门禁与自动化处理策略，赵昆航牵头梳理