
<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 18, 2017 at 8:34 PM, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-11-03 07:49:05 +0000 (+0000), Luke Hinds wrote:<br>

[...]<br>

<span class="">> One thing came to mind on Jeremy's points around the VMT, is<br>

> OSSN's<br>

><br>

> We often get a workflow where Sec-Core are brought into a private<br>

> LP bug to determine if its suitable for an OSSN, and it remains so<br>

> until we release the OSSN.<br>

><br>

> So the option here is transfer OSSN into the VMT, or we keep<br>

> things as they are.<br>

</span>[...]<br>

<br>

The VMT has operated fairly independently of the Security Team even<br>

while they were technically one project team from a governance<br>

perspective. In my opinion moving OSSN publications to the VMT makes<br>

little sense as those were always intended to be addenda/appendices<br>

of the Security Guide, which would presumably remain the purview of<br>

the new Security SIG. As you note the VMT already does a decent job<br>

of pulling the security notes editors into discussions if we<br>

determine an issue is out of scope for an advisory, and I don't see<br>

that process would need to change.<br>

<span class="HOEnZb"><font color="#888888">--<br>

Jeremy Stanley<br>

</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>

OpenStack Development Mailing List (not for usage questions)<br>

Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>

<br></blockquote><div> </div></div></div><div class="gmail_extra">Let's keep it as it is then. We intend to keep the same access control / structure when we move to a SIG, so I cannot see the work flow we have changing (whereby you bring Sec-Core into the LP bug).<br></div></div>