具体业务场景中CVE处理流程上的不足之处收集

本issue用来收集OSV及用户对具体业务场景中当前社区CVE处理流程上不足之处的反馈。请在评论中填写反馈意见，后续会将有效反馈意见合入issue描述。最后形成一份对社区CVE处理流程的改进需求。

反馈1：
麒麟软件：Rancher SIG希望社区提供容器镜像CVE扫描能力。

反馈2：
麒麟信安：希望CVE信息也有类似SA的xml格式文档，或者json格式。原因有两点：1）官网页面不时会调整，这要求从openEuler官网上爬取CVE信息的爬虫不时地进行相应的修改。2）现在会在已有CVE上刷新信息，这会导致需要全量重爬，网页爬取很耗时间。

反馈3：
超聚变：1. 希望在CVE中保留足够详细的描述，方便后期的跟踪。2. 希望在补丁中给出详细的原因，解决方案，尚存问题和未来解决方案，以帮助OSV决定是否接受或者是否能提出更好的方案。3. 希望CVE信息能及时更新以反映系统中的真实问题。4.建议在安全委员会门户页面加上CVE处理流程的图示和描述。
1, Explanations for some CVEs is not clear (esp. in Chinese), some details are removed compared with NVD descriptions. Hope to keep enough details to assist tracing CVE info later.
2, For patches: a brief description of solution may be NOT enough; it would be better to give detailed info about reasoniong, solution, remaining issues and future solutions. This can help OSV decide whether to accept the patch or not, or even suggest a better solution. (Do not care about the disk space needed. More info is more valuable.)
3, It would be better if the CVE info can be updated in time (or more frequently), so they can indicate the real problems in the system.
4, Sugegstion: give a chart or description about CVE handling process in HOME page of security SIG (if it already exists, please move it to the security HOME page.)

反馈4：
江苏润和软件：希望在安全公告页面 (https://www.openeuler.org/zh/security/safety-bulletin/) 能提供按照"影响产品"和“影响组件”搜索的功能。希望在CVE页面( https://www.openeuler.org/zh/security/cve/ )能提供按照"包"搜索的功能

openEuler/security-committee

内容风险标识

评论 (3)

openEuler/security-committee .gitee-modal { width: 500px !important; }

内容风险标识