<div dir="ltr">+1<br></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Thu, Dec 12, 2013 at 9:14 AM, Bryan D. Payne <span dir="ltr"><<a href="mailto:bdpayne@acm.org" target="_blank">bdpayne@acm.org</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Re: Removing Paul McMillan from core<div><br></div><div>I would argue that it is critical that each project have 1-2 people on core that are security experts.  The VMT is an intentionally small team.  They are moving to having specifically appointed security sub-teams on each project (I believe this is what I heard at the last summit).  These teams would be a subset of the core devs that can handle security reviews.  They idea is that these people would then be able to +1 / -1 embargoed security patches.  So having someone like Paul on Horizon core would be very valuable for such things.</div>


<div><br></div><div>In addition, I think that gerrit is exactly where security reviews *should* be happening.  Much better to catch things before they are merged, rather than as bugs after-the-fact.  Would we rather have a -1 on a code review than a CVE?</div>


<div><br></div><div>My 2 cents,</div><div>-bryan (from OSSG)</div></div>
<br>_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><br>-- <br>Best Regards,<br>NiuZG<br>
</div>