<div dir="ltr"><br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


That's certainly not true of every project.  I wouldn't want to start<br>
doing it for nova, either.  It seems like completely unnecessary<br>
duplication.<br>
<br>
</blockquote></div>
The distinction we are making on Keystone is that the Bug describes the problem, and the Blueprint describes a solution.  It allows vetting  competing solutions for the same issue at design time.<br></blockquote><div><br>

</div><div>Based on this conversation, I'd say that *if* projects use this method of Bug + Blueprint(s), then tagging the bugs for security impact seems reasonable and is a nice way to start engaging the security community at this earlier stage in the process.  In short, please tag away (as appropriate)!</div>

<div><br></div><div>For the remaining projects, we can continue to think about this and find ways to engage the security community with those as well.  One thing that can always be done is to have someone on the project simply contact this mailing list and ask for eyes / help.  A manual process, while not perfect, is certainly better than no process at all.</div>

<div><br></div><div>Cheers,</div><div>-bryan</div><div><br></div></div></div></div>