<div dir="ltr"><br><div class="gmail_extra"><br><div class="gmail_quote">On Sat, Nov 18, 2017 at 8:34 PM, Jeremy Stanley <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2017-11-03 07:49:05 +0000 (+0000), Luke Hinds wrote:<br>
[...]<br>
<span class="">> One thing came to mind on Jeremy's points around the VMT, is<br>
> OSSN's<br>
><br>
> We often get a workflow where Sec-Core are brought into a private<br>
> LP bug to determine if its suitable for an OSSN, and it remains so<br>
> until we release the OSSN.<br>
><br>
> So the option here is transfer OSSN into the VMT, or we keep<br>
> things as they are.<br>
</span>[...]<br>
<br>
The VMT has operated fairly independently of the Security Team even<br>
while they were technically one project team from a governance<br>
perspective. In my opinion moving OSSN publications to the VMT makes<br>
little sense as those were always intended to be addenda/appendices<br>
of the Security Guide, which would presumably remain the purview of<br>
the new Security SIG. As you note the VMT already does a decent job<br>
of pulling the security notes editors into discussions if we<br>
determine an issue is out of scope for an advisory, and I don't see<br>
that process would need to change.<br>
<span class="HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><br>______________________________<wbr>______________________________<wbr>______________<br>
OpenStack Development Mailing List (not for usage questions)<br>
Unsubscribe: <a href="http://OpenStack-dev-request@lists.openstack.org?subject:unsubscribe" rel="noreferrer" target="_blank">OpenStack-dev-request@lists.<wbr>openstack.org?subject:<wbr>unsubscribe</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" rel="noreferrer" target="_blank">http://lists.openstack.org/<wbr>cgi-bin/mailman/listinfo/<wbr>openstack-dev</a><br>
<br></blockquote><div> </div></div></div><div class="gmail_extra">Let's keep it as it is then. We intend to keep the same access control / structure when we move to a SIG, so I cannot see the work flow we have changing (whereby you bring Sec-Core into the LP bug).<br></div></div>