4 Mar
4 Mar
11:50 a.m.
New subject: sig-security例会 2025-03-04 10:00-11:00
sig-security例会 2025-03-04 10:00-11:00
发起人:lwj11223344
与会人:TacoJay(张超), lwj11223344(李文杰)、张宁、朱超、陈曾、赵昆航、李文杰
会议平台:WELINK
会议ID:966999678
Etherpad链接:https://etherpad.openubmc.cn/p/sig-security
议题1:遗留问题进展&近期事务同步
主讲人:李文杰
列席人:李文杰
议题时间:10min
议题内容:
1. 遗留问题审视
2. 近期事务同步
会议纪要:
1. 遗留问题审视
暂无遗留问题
2. 近期事务同步
a. account组件需求方案评审逐步迁移到社区会议
b. 针对security的证书管理与特权代理能力需要逐步提供
议题2:user组件仓更名
主讲人:李文杰
列席人:李文杰
议题时间:10min
议题内容:
将user组件仓更名为account
会议纪要:
已在TC评审, 同意变更
议题3:CVE漏洞管理遗留问题
主讲人:朱超、陈曾、赵昆航、李文杰
列席人:朱超、陈曾、赵昆航、李文杰
议题内容:
1.依赖的开源软件漏洞 -- 赵昆航
a.参考openeuler:做PR门禁(某个PR引入了一个开源软件)限制对有漏洞的开源软件的使用
依赖赵昆航明确方案,利用trivy工具扫描gitcode的源码仓(利用trivy工具扫描conan中心仓无法扫描)
解决策略:1. 推荐升级开源软件的版本;2. mantainer评估风险,手动合入
b.定时扫描全量引入的开源软件,获取CVE清单,自动生成issue
c.具体策略待细化(c代码的库函数、python代码对应的包、conan依赖的开源软件)
d.需要对漏洞分级,针对不同级别的漏洞来做限制策略
2.社区自身代码漏洞
a.参考openeuler的缺陷管理策略:https://www.openeuler.org/zh/security/bug-bulletins/
会议纪要:
a. 开源软件的漏洞,可以参考opengauss,发送cve公告,具体的开源软件与bmc版本匹配规则,可以基于conan_index/manifest做匹配 -- 杨伟
b. 开源软件漏洞的门禁与自动化处理策略,赵昆航牵头梳理
25 Mar
25 Mar
11:47 a.m.
New subject: sig-security例会-安全sig无效仓库清理 2025-03-25 11:00-11:30
------------------ 原始邮件 ------------------
发件人: "李文杰" <348808705@qq.com>;
发送时间: 2025年3月4日(星期二) 中午11:50
收件人: "security"<security@public.openubmc.cn>;
主题: sig-security例会 2025-03-04 10:00-11:00
sig-security例会 2025-03-04 10:00-11:00
发起人:lwj11223344
与会人:TacoJay(张超), lwj11223344(李文杰)、张宁、朱超、陈曾、赵昆航、李文杰
会议平台:WELINK
会议ID:966999678
Etherpad链接:https://etherpad.openubmc.cn/p/sig-security
议题1:遗留问题进展&近期事务同步
主讲人:李文杰
列席人:李文杰
议题时间:10min
议题内容:
1. 遗留问题审视
2. 近期事务同步
会议纪要:
1. 遗留问题审视
暂无遗留问题
2. 近期事务同步
a. account组件需求方案评审逐步迁移到社区会议
b. 针对security的证书管理与特权代理能力需要逐步提供
议题2:user组件仓更名
主讲人:李文杰
列席人:李文杰
议题时间:10min
议题内容:
将user组件仓更名为account
会议纪要:
已在TC评审, 同意变更
议题3:CVE漏洞管理遗留问题
主讲人:朱超、陈曾、赵昆航、李文杰
列席人:朱超、陈曾、赵昆航、李文杰
议题内容:
1.依赖的开源软件漏洞 -- 赵昆航
a.参考openeuler:做PR门禁(某个PR引入了一个开源软件)限制对有漏洞的开源软件的使用
依赖赵昆航明确方案,利用trivy工具扫描gitcode的源码仓(利用trivy工具扫描conan中心仓无法扫描)
解决策略:1. 推荐升级开源软件的版本;2. mantainer评估风险,手动合入
b.定时扫描全量引入的开源软件,获取CVE清单,自动生成issue
c.具体策略待细化(c代码的库函数、python代码对应的包、conan依赖的开源软件)
d.需要对漏洞分级,针对不同级别的漏洞来做限制策略
2.社区自身代码漏洞
a.参考openeuler的缺陷管理策略:https://www.openeuler.org/zh/security/bug-bulletins/
会议纪要:
a. 开源软件的漏洞,可以参考opengauss,发送cve公告,具体的开源软件与bmc版本匹配规则,可以基于conan_index/manifest做匹配 -- 杨伟
b. 开源软件漏洞的门禁与自动化处理策略,赵昆航牵头梳理
105
Age (days ago)
186
Last active (days ago)
2 comments
2 participants
participants (2)
-
李文杰 -
竹生