<div dir="ltr"><div class="gmail_default" style="font-family:verdana,sans-serif">Thanks Jeremy for the instructions, as suggested, I've added<br>'openstack-security' team to access the storyboard task and paste the<br>code change as a comment. <br><br>I am still hoping the process could be documented in the right place in<br>case someone else is in the similar situation as me.<br></div><div><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div dir="ltr"><div><br></div><div><font face="monospace">-</font></div><div><font face="monospace, monospace" color="#666666">Best regards,<br>Lingxian Kong</font></div><div><font face="monospace, monospace" color="#666666">Catalyst Cloud</font></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div></div><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Thu, Apr 9, 2020 at 7:01 PM Jeremy Stanley <<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 2020-04-09 16:43:53 +1200 (+1200), Lingxian Kong wrote:<br>
> As most of the projects have migrated to storyboard for bug tracking,<br>
<br>
Most have not, actually, at last count it was nearing 50% of<br>
OpenStack teams but I don't have exact numbers handy at the moment.<br>
<br>
> after reading <a href="https://security.openstack.org/vmt-process.html" rel="noreferrer" target="_blank">https://security.openstack.org/vmt-process.html</a>, I have<br>
> two questions:<br>
> <br>
> 1. I didn't find openstack/ossa or ossa project exists in storyboard.<br>
<br>
Like in Launchpad, you report suspected vulnerabilities to the<br>
projects in which you've found them. The VMT isn't using explicit<br>
advisory tasks in StoryBoard at the moment, but we're still acting<br>
on vulnerabilities reported in StoryBoard for projects with the<br>
vulnerability:managed governance tag (at present that's Barbican,<br>
Heat, Sahara and Trove). We get automatic access to those, but are<br>
also happy to discuss suspected vulnerabilities in other projects as<br>
long as you give us access to the story (click the pencil-shaped<br>
edit icon next to the story title, then add the "openstack-security"<br>
team to the list of "Teams and Users that can see this story" and<br>
click the Save button).<br>
<br>
> 2. I didn't find a place in storyboard to attach a patch.<br>
<br>
There is work underway to add attachments support:<br>
<br>
<a href="https://review.opendev.org/#/q/topic:story-attachments" rel="noreferrer" target="_blank">https://review.opendev.org/#/q/topic:story-attachments</a><br>
<br>
Right now you can just paste the patch into a story comment if the<br>
story is private (for public stories, patches should go to Gerrit as<br>
usual, and use a Task or Story footer in the commit message to refer<br>
to a relevant task or story ID number). The comment field supports<br>
markdown, so if you indent all the lines of a patch by an additional<br>
4 spaces it will be displayed as a block of preformatted code. Use<br>
the Toggle Preview button so you can make sure it looks the way you<br>
expect before committing the comment. I've put an example in<br>
storyboard-dev here:<br>
<br>
<a href="https://storyboard-dev.openstack.org/#!/story/1831449" rel="noreferrer" target="_blank">https://storyboard-dev.openstack.org/#!/story/1831449</a><br>
<br>
It can be a bit unwieldy, but it's the best option we've got until<br>
proper attachment support is finished.<br>
<br>
> Am I missing something?<br>
<br>
Hopefully not, but feel free to reach out to OpenStack VMT team<br>
members directly by private E-mail (OpenPGP-encrypted to our keys if<br>
you feel it's especially sensitive). You can find us listed at<br>
<a href="https://security.openstack.org/#how-to-report-security-issues-to-openstack" rel="noreferrer" target="_blank">https://security.openstack.org/#how-to-report-security-issues-to-openstack</a><br>
along with high-level instructions on reporting vulnerabilities.<br>
Some of us also generally attend the OpenStack Security SIG meeting<br>
every Thursday at 15:00 UTC in #openstack-meeting and can be found<br>
at various times of day in the #openstack-security IRC channel as<br>
well.<br>
-- <br>
Jeremy Stanley<br>
</blockquote></div>