<div dir="auto"><div><br><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">Le lun. 25 févr. 2019 à 20:58, Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> a écrit :<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 2019-02-20 19:36:28 +0100 (+0100), Sylvain Bauza wrote:<br>
[...]<br>
> The last item is interesting, because the OIP draft at the moment<br>
> shows more technical requirements than the Foundation ones. For<br>
> example, VMT is - at the moment I'm writing those lines - quoted<br>
> as a common best practice, which is something we don't ask for our<br>
> projects. That's actually a good food for thoughts : security is<br>
> crucial and shouldn't be just a tag [3]. OpenStack is mature and<br>
> it's our responsibility to care about CVEs.<br>
[...]<br>
<br>
Leaving aside the assertion that "caring about CVEs" is the same<br>
thing as caring about security, it's worth mentioning that the<br>
centralized OpenStack VMT doesn't (and can't) easily scale. It<br>
publishes a set of guidelines, process documents and templates which<br>
any team can follow to achieve similar results, but the governance<br>
tag we have right now serves mostly to set the scope of the<br>
centralized VMT (and in turn expresses some fairly strict criteria<br>
for expanding that scope to indicate direct oversight of more<br>
deliverables).<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Yup and I know that :-(</div><div dir="auto">When I said the above, I was about saying that all the projects should have at least one liaison (at least the PTL) and a way to have some security discussions if needed.</div><div dir="auto"> </div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
<br>
I'm open to suggestions for how the OpenStack TC can better promote<br>
good security practices within teams. I have some thoughts as well,<br>
though it probably warrants a separate thread at a later date when I<br>
have more time to assemble words on the subject.<br></blockquote></div></div><div dir="auto"><br></div><div dir="auto">Yeah agreed. Maybe in the next Forum because we need to have a discussion with the operators for this I think.</div><div dir="auto"><br></div><div dir="auto">Sylvain</div><div dir="auto"><br></div><div dir="auto"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
-- <br>
Jeremy Stanley<br>
</blockquote></div></div></div>