<html>

  <head>

    <meta content="text/html; charset=ISO-8859-1"

      http-equiv="Content-Type">

  </head>

  <body>

    <br>

    <br>

    <div class="moz-cite-prefix">On 5/12/16 8:44 PM, Jeremy Stanley

      wrote:<br>

    </div>

    <blockquote cite="mid:20160513004409.GI15295@yuggoth.org"

      type="cite">

      <pre wrap="">On 2016-05-12 17:38:22 -0400 (-0400), Nikhil Komawar wrote:

</pre>

      <blockquote type="cite">

        <pre wrap="">On 5/12/16 8:35 AM, Jeremy Stanley wrote:

</pre>

      </blockquote>

      <pre wrap="">[...]

</pre>

      <blockquote type="cite">

        <blockquote type="cite">

          <pre wrap="">While the size I picked in item #2 at

<URL: <a class="moz-txt-link-freetext" href="https://governance.openstack.org/reference/tags/vulnerability_managed.html#requirements">https://governance.openstack.org/reference/tags/vulnerability_managed.html#requirements</a> >

is not meant to be a strict limit, you may still want to take this

as an opportunity to rotate out some of your less-active reviewers

(if there are any).

</pre>

        </blockquote>

        <pre wrap="">

Thanks for not being strict on it.

</pre>

      </blockquote>

      <pre wrap="">

It's also possible this is an indication that we put the recommended

cap too low, and should revisit it. I'll bring it up with other VMT

members. I sort of picked that number out of the air... it seemed

reasonable based on a survey of the sizes of some other supported

projects' -coresec teams, but that's certainly worth revisiting.

</pre>

    </blockquote>

    <br>

    +1 on re-iterating on the number<br>

    <br>

    <blockquote cite="mid:20160513004409.GI15295@yuggoth.org"

      type="cite">

      <pre wrap="">

</pre>

      <blockquote type="cite">

        <pre wrap="">I do however, want to make another proposal:

Since Stuart is our VMT liaison and he's on hiatus, can we add Brian as

his substitute. As soon as Stuart is back and is ready to shoulder this

responsibility we should do the rotation.

</pre>

      </blockquote>

      <pre wrap="">[...]

This seems fine. It does make sense to not expose embargoed

vulnerabilities to (even temporarily) inactive team members, as a

matter of hygiene.

</pre>

    </blockquote>

    <br>

    <pre class="moz-signature" cols="72">-- 

Thanks,

Nikhil</pre>

  </body>

</html>