
<div dir="ltr">Russell,<div><br><div>(ccing Bryan, Rob)</div><div><br>Thanks for the initiative. We at the <a href="https://launchpad.net/~openstack-ossg">OpenStack Security Group </a>are doing large part of these tasks now and are looking for more help (particularly around reviews from people that are intimate to the project internals). Here are some <a href="https://wiki.openstack.org/wiki/Security/How_To_Contribute#How_To_Contribute_To_The_OpenStack_Security_Group_.28OSSG.29">pointers</a> on how to get involved. You probably are inviting more volunteers for OSSG, I am just trying to make it clearer. If not, we need to work to make sure the efforts are aligned and not duplicated. </div>

<div><br></div><div>Thanks,</div><div>-Sriram</div></div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 18, 2013 at 9:50 AM, Russell Bryant <span dir="ltr"><<a href="mailto:rbryant@redhat.com" target="_blank">rbryant@redhat.com</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Greetings,<br>

<br>

I'm on a quest to address Nova's project management growing pains and to<br>

make sure the Nova PTL is never an unnecessary bottleneck.  One area<br>

that has been identified as needing a small team is handling Nova<br>

security vulnerability reports.<br>

<br>

We have the nova-coresec team on launchpad [1], which is currently all<br>

of nova-core.  We need to re-work this to be a small subset of nova-core<br>

that is specifically interested in being the primary contacts for<br>

security issues.  These people will be responsible for:<br>

<br>

1) Helping determine if a report is legitimate<br>

<br>

2) Pulling in the right expertise as necessary to analyze and/or fix a<br>

problem<br>

<br>

3) Helping develop fixes for security issues<br>

<br>

4) Helping to review security fixes (they must be reviewed in advance,<br>

before going to gerrit, because the patches are under embargo)<br>

<br>

I'm happy to be on this team, but I would like a few people with broad<br>

expertise to help out.<br>

<br>

For more information on the vulnerability management process, see [2].<br>

<br>

Who's in?<br>

<br>

[1] <a href="https://launchpad.net/~nova-coresec" target="_blank">https://launchpad.net/~nova-coresec</a><br>

[2] <a href="https://wiki.openstack.org/wiki/Vulnerability_Management" target="_blank">https://wiki.openstack.org/wiki/Vulnerability_Management</a><br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Russell Bryant<br>

<br>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

</font></span></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Thanks,</div><div>-Sriram</div>

</div>