<div dir="ltr"><div><div><div><div><div>So I talked about this during the summit.<br><br></div>But my plan for this release is to build out a vulnerability database.<br><br></div>I put some more descriptive info on that work effort here:<br>
<br><a href="http://secstack.org/2013/04/havana/">http://secstack.org/2013/04/havana/</a><br><br></div>I don't have anything blueprint worthy yet.  Right now I am working on setting up a schema for datasets.  When I have that laid out I'll ping the list again looking for input and I'll probably start building wiki space out on the openstack wiki at that time.<br>
<br></div>Right now I am doing dataset collection and investigation to help me design an extensible schema.<br><br></div><div>The ultimate goal is to have a database of vulnerability information that tracks openstack core, openstack candidates, and secondary dependency vulnerabilities.  <br>
<br></div><div>Then we can provide an REST API for interfacing with that database.<br><br></div><div>This should allow deployers and packaging at distributors ( redhat, cloudscaling, etc ) to poll as a gate test against the db for possible vulnerabilities applicable to them.<br>
<br></div><div>There are some fundamental questions about scope of what data to include.  It can get dicey when we start talking about redhat specific vulnerabilities and nebula or piston specific vulnerabilities.<br><br>
</div><div>So I'd love to hear thoughts on that.  <br><br></div><div>Anyways.  I am already working on schemas.  I'll post updates shortly.<br><br></div><div>Just wanted to keep the list in the loop.  Not everyone is at the summit.<br>
<br></div><div>-Matt Joyce<br></div></div>