<div dir="ltr"><div>Some questions:</div><div><br></div>What would constitute a vulnerability for openstack-puppet since we're mainly consuming the upstream code?<div><br></div><div>Would having an insecure default value on a parameter meet the criteria? What if the upstream default is also bad? </div><div><br></div><div>We certainly also have some examples that should never be used in production.</div></div><div class="gmail_extra"><br><div class="gmail_quote">On Mon, Aug 31, 2015 at 12:11 PM, Emilien Macchi <span dir="ltr"><<a href="mailto:emilien@redhat.com" target="_blank">emilien@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Hi,<br>
<br>
I would like the feedback from the community about applying (or not) to<br>
the vulnerability:managed tag [1].<br>
Being part of OpenStack ecosystem and the big tent, Puppet OpenStack<br>
project might want to follow some other projects in order to be<br>
consistent in Security management procedures.<br>
<br>
I believe we should apply for the tag and start to learn about their<br>
process. I think it would be a great opportunity for us to be more<br>
involved in OpenStack best-practices, and maybe enhance the process by<br>
giving feedback to the security team.<br>
Also, it would make our security bugs managed and tracked in a more<br>
serious way than we used to do before.<br>
<br>
The main impact for our group would be to acknowledge what is documented<br>
here:<br>
<a href="https://security.openstack.org/#how-to-report-security-issues-to-openstack" rel="noreferrer" target="_blank">https://security.openstack.org/#how-to-report-security-issues-to-openstack</a><br>
and taking care of the new procedure.<br>
<br>
I think we should start the discussion from here and maybe define a plan<br>
for the following months, if some audits need to be done before.<br>
<br>
Any feedback is welcome,<br>
<br>
[1]<br>
<a href="http://governance.openstack.org/reference/tags/vulnerability_managed.html" rel="noreferrer" target="_blank">http://governance.openstack.org/reference/tags/vulnerability_managed.html</a><br>
<span class="HOEnZb"><font color="#888888">--<br>
Emilien Macchi<br>
<br>
</font></span><br>__________________________________________________________________________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.openstack.org?subject:unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
<br></blockquote></div><br></div>