<div dir="ltr"><div dir="ltr">On Fri, Feb 15, 2019 at 1:18 PM Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2019-02-15 13:06:21 -0500 (-0500), Jim Rollenhagen wrote:<br>
[...]<br>
> I know openstack-ansible and kolla both (optionally?) deploy from source,<br>
> so maybe it's time to start talking about it. Or should those projects<br>
> handle security fixes themselves when deploying from source?<br>
<br>
If they're aggregating non-OpenStack software (that is, acting as a<br>
full software distribution) then they ought to be tracking and<br>
managing vulnerabilities in that software. I don't see that as being<br>
the job of the Requirements team to manage it for them. This is<br>
especially true in cases where the output is something like server<br>
or container images which include plenty of other software not even<br>
tracked by the requirements repository at all, any of which could<br>
have security vulnerabilities as well.<br></blockquote><div><br></div><div>That's fair - I had to ask, given I believe they just take what the</div><div>requirements.txt file gives them. Hopefully those projects are</div><div>aware of this policy already. :)</div><div><br></div><div>// jim</div></div></div>