<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Fri, Oct 27, 2017 at 6:08 PM, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2017-10-27 15:30:34 +0200 (+0200), Thierry Carrez wrote:<br>
[...]<br>
<span class="gmail-">> I think the Security project team would benefit from becoming a<br>
> proper SIG.<br>
</span>[...]<br>
<br>
I tend to agree, though it's worth also considering what the<br>
implications are for vulnerability management under the new model.<br>
The VMT tended to act as an independent task force in the<br>
beforetime, until the big t^W^Wproject reform of 2014, and then<br>
allied itself with the newly-formed Security Team while continuing<br>
operation autonomously under a fairly independent mandate. Does this<br>
still make sense in a Security SIG context, or should we be<br>
considering alternative (perhaps more formal?) governance for the<br>
VMT in that scenario? I don't have especially cogent thoughts around<br>
this yet, so interested to hear what others in the community think.<br>
<span class="gmail-HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote></div><br><br clear="all"><div>We discussed the SIG proposal on the security meeting and I planned to invite you in for a session to discuss Thierry (apologies for being late for getting this together). </div><div><br></div><div>Overall folks thought it an idea worth while enough to explore further.</div><div><br></div><div>My own view is that if its leads to getting more eyes on security, then its a good thing. With that in mind, I had the idea that we could run a "Security SIG" in parallel to the security project and see if it gains traction and security minded people from the wider community do actually come forward to get involved and merit the change worth while (and it's not just the Security Project rearranging the furniture). We could then review how its gone at the end of the Queens cycle and if a success (not sure how we would define that as yet), then implement the change at the juncture of a new release.</div><div>Luke</div><div><br></div>
</div></div>