<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On 21 September 2016 at 19:20, Chivers, Doug <span dir="ltr"><<a href="mailto:doug.chivers@hpe.com" target="_blank">doug.chivers@hpe.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">My concern is with the original wording “The suggested way forward there would be to remove the "Security project team"”.<br>
<br>
This seems like a move to instantly reduce investment in OpenStack security, because the majority of members of the Security Project are corporately funded, which will be significantly impacted by the removal of the security project. I have no knowledge over the difference between a working group and a project, like everyone else on the project we are simply here to contribute to OpenStack security, drive innovation in security, deliver documentation like OSSNs, etc, rather than get involved in the politics of OpenStack.<br>
<br>
In response to the various questions of why no-one from our project noticed that we didn’t have a nomination for the PTL, we assumed that was taken care of. Realistically maybe two or three people on the security project have the availability to be PTL, one being our current PTL, for all the rest of us its simply not a concern until we need to vote.<br>
<br>
On a personal note, reading –dev is unfortunately a lower priority than designing architectures, responding to customers and sales teams, closing tickets, writing decks and on the afternoon or so I can spend each week, working on my upstream projects (this week it was: <a href="https://review.openstack.org/#/c/357978/5" rel="noreferrer" target="_blank">https://review.openstack.org/#<wbr>/c/357978/5</a> - thanks to the Barbican team for all their work). Possibly this is wrong, but I didn’t sign up as a contributor to spend all my spare time reading mailing lists.<br>
<br></blockquote><div><br></div><div><div><SNIP></div><div><br></div><div>Honestly, I can only echo this.  I've been around the OSSP(G) since 2013, but only really been active in the last 18 months or so.  It's been pretty clear that when Security moved from a Group to a Project, investment towards security grew dramatically.</div><div><br></div><div>The meetings are well run with real objectives achieved with members focused on constant outreach to other projects.  For reference, the email that started this thread was picked up and discussed by some members of the OSSP within *minutes* of it being sent... and those people were pretty outraged.</div></div><div><br></div><div>I'm sure it wasn't intended, but the original email could be read as quite insulting.. "<span style="font-size:12.8px">That points to a </span><span style="font-size:12.8px">real disconnect between those teams and the rest of the community".  I think this is an unfair statement based on minimal observation of a point of order.</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">The OSSP spends a significant amount of its time on outreach, which is the whole underlying principle of the project.  This can be seen with efforts such as bandit gate coverage, Threat Analysis and OSSN's.</span></div><div><br></div><div>Further, reducing the summit timetable for Security and "<span style="font-size:12.8px">have </span><span class="gmail-il" style="font-size:12.8px;background-color:rgb(255,255,255)">Security</span><span style="font-size:12.8px"> be just a workgroup".. really sends the wrong message about Security being a first class citizen in OpenStack.</span></div><div><span style="font-size:12.8px"><br></span></div><div><div>OSSP ticks all the 4 opens, and stating that "The leadership is chosen by the contributors to the project".. it is convention that a nomination email is sent to -dev, but that shouldn't be assumed that the contributors have not considered their leader.</div><div><br></div><div>I think people working on the OSSP assumed it would be Rob again, and were happy with this.  It isn't because of lack of community engagement or interest IMO.</div></div><div><br></div><div>So.. other than someone failing to nominate for PTL in the time-frame, what else justifies the statement of "<span style="font-size:12.8px">points[ing] to a </span><span style="font-size:12.8px">real disconnect between those teams and the rest of the community".. or shows that OSSG no longer meets the 4 opens?</span></div><div><span style="font-size:12.8px"><br></span></div><div><span style="font-size:12.8px">--</span></div><div><span style="font-size:12.8px">Kind Regards,</span></div><div><span style="font-size:12.8px">Dave Walker</span></div></div></div></div>