<div dir="ltr">Shohel,<div><br></div><div>Thanks for the wiki entry and introducing Bengt and Mats. Hello there!</div><div><br></div><div>I am definitely interested in this work. Enjoy your vacation, looking forward to working with Bengt</div>
<div><br></div><div>thanks,</div><div>-Sriram</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Fri, Nov 15, 2013 at 1:44 AM, Abu Shohel Ahmed <span dir="ltr"><<a href="mailto:ahmed.shohel@ericsson.com" target="_blank">ahmed.shohel@ericsson.com</a>></span> wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div style="word-wrap:break-word"><div>Hi all,</div><div><br></div><div>Yesterday, we had a good introduction discussion related to this work.</div>
<div> I have added more content i.e., an Example Threat analysis work.</div><div>in the Wiki page.</div><div><br></div><div> <a href="https://wiki.openstack.org/wiki/Security/Threat_Analysis" target="_blank">https://wiki.openstack.org/wiki/Security/Threat_Analysis</a></div>
<div><br></div><div>To get the momentum, we should first discuss who are interested to work </div><div>on this activity. Then we can form a small team to make things faster and</div><div>concentrated work. Please drop an email, if you are interested.</div>
<div><br></div><div>From Ericsson side, we will have more people working in this activity ( e.g.,</div><div>Mats Näslund and Bengt Sahlin (CC:ed)). I will be on vacation for next five weeks,</div><div>during this time Bengt Sahlin will organize discussion and way forward </div>
<div>for this activity from our side.</div><div><br></div><div>Thanks,</div><div>Shohel</div><div> </div><div>
</div>
<br><div><div class="im"><div>Sriram Subramanian kirjoitti Nov 14, 2013 kello 9:04 PM:</div><br></div><div><div class="h5"><blockquote type="cite"><div dir="ltr"><div>Thanks Shohel,</div><div> </div><div>I am at the IRC #openstack-meeting. Anyone out there?</div>
<div> </div><div>thanks,</div><div>-sriram</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">
On Thu, Nov 14, 2013 at 9:40 AM, Abu Shohel Ahmed <span dir="ltr"><<a href="mailto:ahmed.shohel@ericsson.com" target="_blank">ahmed.shohel@ericsson.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">

<div>Hi Sriram,<div><br></div><div>To get started,  I have create an Wiki Page.</div><div><br></div><div><a href="https://wiki.openstack.org/wiki/Security/Threat_Analysis" target="_blank">https://wiki.openstack.org/wiki/Security/Threat_Analysis</a></div>

<div><br></div><div>Currently, consisting of a process diagram and links to relevant literature. </div><div>The wiki page can be enriched together as the time goes  and we proceed with our work.</div><div><br></div><div>
We have also linked in the Wiki, a security quick study report for Keystone Folsom </div>
<div>release  which James has promised in the Summit. The report itself is quite old now </div><div>compared to the current keystone release. So the most important task now, is to define</div><div>a common process through which we can do evaluation of OpenStack Components.</div>

<div><br></div><div>See you in today's meeting. We can discuss about how we can proceed with this</div><div>activity.</div><div><br></div><div>Thanks,</div><div>Shohel</div><div><br></div><div><div>
</div>
<br><div><div>Sriram Subramanian kirjoitti Nov 12, 2013 kello 12:13 AM:</div><div><div><br><blockquote type="cite"><div dir="ltr"><div>Shohel,</div><div> </div><div>Could you please send any relevant links for those who are new to the threat model analysis process? Most of the links I used while at Microsoft are internal-only. </div>

<div>
 </div><div>thanks,</div><div>-Sriram</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Mon, Nov 11, 2013 at 5:47 AM, Abu Shohel Ahmed <span dir="ltr"><<a href="mailto:ahmed.shohel@ericsson.com" target="_blank">ahmed.shohel@ericsson.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;padding-left:1ex;border-left-color:rgb(204,204,204);border-left-width:1px;border-left-style:solid"><div>Hi Rob,<div><br></div><div>Certainly, the meeting transcript should be available in <a href="https://wiki.openstack.org/wiki/Meetings/OpenStackSecurity" target="_blank">https://wiki.openstack.org/wiki/Meetings/OpenStackSecurity</a></div>


<div>After the meeting, we will sent the meeting notes to the OSSG mailing list.</div><div><br></div><div>…shohel<br><div>
</div>
<br><div><div>Clark, Robert Graham kirjoitti Nov 11, 2013 kello 3:43 PM:</div><br><blockquote type="cite">


<div style="font-family:Calibri,sans-serif;font-size:14px"><div>
<div>I know a few people (me included) won’t be able to make the OSSG meeting this week.</div>
<div><br>
</div>
<div>Is there any way we can follow this up by email?</div>
<div><br>
</div>
</div><span>
<div style="border-width:1pt medium medium;border-style:solid none none;border-color:rgb(181,196,223) currentColor currentColor;padding:3pt 0in 0in;text-align:left;font-family:Calibri;font-size:11pt"><div>
<span style="font-weight:bold">From: </span>Abu Shohel Ahmed <<a href="mailto:ahmed.shohel@ericsson.com" target="_blank">ahmed.shohel@ericsson.com</a>><br>
</div><div><span style="font-weight:bold">Date: </span>Monday, 11 November 2013 21:31<br>
</div><span style="font-weight:bold">To: </span>"<a href="mailto:openstack-security@lists.openstack.org" target="_blank">openstack-security@lists.openstack.org</a>" <<a href="mailto:openstack-security@lists.openstack.org" target="_blank">openstack-security@lists.openstack.org</a>><br>



<span style="font-weight:bold">Cc: </span>Robert Clark <<a href="mailto:robert.clark@hp.com" target="_blank">robert.clark@hp.com</a>>, Sriram Subramanian <<a href="mailto:sriram@sriramhere.com" target="_blank">sriram@sriramhere.com</a>>, James Kempf <<a href="mailto:james.kempf@ericsson.com" target="_blank">james.kempf@ericsson.com</a>><div>


<br>
<span style="font-weight:bold">Subject: </span>Re: [Openstack-security] OSSG Lunch Meeting Notes<br>
</div></div>
<div><br>
</div>
<div>
<div><div>
Hi all,
<div><br>
</div>
<div> We can have a way forward discussion related to threat analysis in the next </div>
<div>OSSG IRC meeting (this Thursday). Things we could discuss in the </div>
<div>meeting e.g.,</div>
<div>  - Threat analysis process in general</div>
<div>  - Work items: OpenStack project to target</div>
<div>  - Time frame</div>
<div>  - Team members</div>
<div>  - Way of working</div>
<div><br>
</div>
<div>See you in the next meeting.</div>
<div><br>
</div>
<div>Thanks,</div>
<div>Shohel  </div>
<div><br>
</div>
<div><br>
</div>
</div><div>
<div><span><span>
<div>
<div><br>
</div>
</div>
</span></span></div>
<div><div>
<div>James Kempf kirjoitti Nov 7, 2013 kello 2:18 AM:</div>
<br>
</div><blockquote type="cite">
<div><div>Hi Rob,<br>
<br>
Shohel (cc-ed) from Ericsson will be driving this. He will be setting up a chat/teleconference sometime late next week to get started.<br>
<br>
<span style="white-space:pre-wrap"></span><span style="white-space:pre-wrap"></span>jak
<br>
<br>
<blockquote type="cite">-----Original Message-----<br>
</blockquote>
<blockquote type="cite">From: Clark, Robert Graham [<a href="mailto:robert.clark@hp.com" target="_blank">mailto:robert.clark@hp.com</a>]<br>
</blockquote>
<blockquote type="cite">Sent: Thursday, November 07, 2013 12:06 AM<br>
</blockquote>
<blockquote type="cite">To: Sriram Subramanian; <a href="mailto:openstack-security@lists.openstack.org" target="_blank">
openstack-security@lists.openstack.org</a><br>
</blockquote>
</div><blockquote type="cite">Subject: Re: [Openstack-security] OSSG Lunch Meeting Notes<br>
</blockquote><div>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">Thanks for the great notes Sriram.<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">I've made the 'how to contribute' part of the wiki more prominent:<br>
</blockquote>
<blockquote type="cite"><a href="https://wiki.openstack.org/wiki/Security/How_To_Contribute" target="_blank">https://wiki.openstack.org/wiki/Security/How_To_Contribute</a><br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">To clarify, when we have the ball rolling on Threat Modelling for major<br>
</blockquote>
<blockquote type="cite">projects, I can commit some security-architect resources to take part in<br>
</blockquote>
<blockquote type="cite">the discussions.<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">Cheers<br>
</blockquote>
<blockquote type="cite">-Rob<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">From: Sriram Subramanian<br>
</blockquote>
<blockquote type="cite"><<a href="mailto:sriram@sriramhere.com" target="_blank">sriram@sriramhere.com</a><<a href="mailto:sriram@sriramhere.com" target="_blank">mailto:sriram@sriramhere.com</a>>><br>
</blockquote>
</div><blockquote type="cite">Date: Tuesday, 5 November 2013 14:24<br>
</blockquote>
<blockquote type="cite">To: "<a href="mailto:openstack-security@lists.openstack.org" target="_blank">openstack-security@lists.openstack.org</a><<a href="mailto:openstack-" target="_blank">mailto:openstack-</a><br>



</blockquote><div>
<blockquote type="cite"><a href="mailto:security@lists.openstack.org" target="_blank">security@lists.openstack.org</a>>" <openstack-<br>
</blockquote>
<blockquote type="cite"><a href="mailto:security@lists.openstack.org" target="_blank">security@lists.openstack.org</a><<a href="mailto:openstack-" target="_blank">mailto:openstack-</a><br>
</blockquote>
</div><blockquote type="cite"><a href="mailto:security@lists.openstack.org" target="_blank">security@lists.openstack.org</a>>><br>
</blockquote><div><div>
<blockquote type="cite">Subject: [Openstack-security] OSSG Lunch Meeting Notes<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">Some of the items discussed, followed by Action Items:<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">1) How can one get invovled - Wiki will direct<br>
</blockquote>
<blockquote type="cite">2) Where to pick up security tasks from?<br>
</blockquote>
<blockquote type="cite">  - wiki is the starting point<br>
</blockquote>
<blockquote type="cite">  - people sign up via mailing list<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">3) threat analysis<br>
</blockquote>
<blockquote type="cite">  - Static Analysis, Formal Verification on projects was proposed by<br>
</blockquote>
<blockquote type="cite">James.<br>
</blockquote>
<blockquote type="cite">  -<br>
</blockquote>
<blockquote type="cite">  - static analysis on python is not very useful; whole projects will<br>
</blockquote>
<blockquote type="cite">take a long time<br>
</blockquote>
<blockquote type="cite">  -<br>
</blockquote>
<blockquote type="cite">4) Threat modeling -<br>
</blockquote>
<blockquote type="cite">  -<br>
</blockquote>
<blockquote type="cite">Action item (James Kempf) : share the results from Folsom for TM around<br>
</blockquote>
<blockquote type="cite">Keystone<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">  -  Rob can get resources towards this<br>
</blockquote>
<blockquote type="cite">  -  get started with core or knowledgeable people<br>
</blockquote>
<blockquote type="cite">  -  Ideally, Secuirty Reviews Per month per project. Review coordinator<br>
</blockquote>
<blockquote type="cite">prepares the arch diagram before the review day<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">5) security review - HP's review process; what it translates to for<br>
</blockquote>
<blockquote type="cite">OpenStack?<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">6) Attacker model<br>
</blockquote>
<blockquote type="cite"> - single or many<br>
</blockquote>
<blockquote type="cite"> -<br>
</blockquote>
<blockquote type="cite">7) Tracking the CVEs, publish in the format<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">- Action Item:  Daniel (Red Hat) to start discussin in the mailing list<br>
</blockquote>
<blockquote type="cite">-  Format:<br>
</blockquote>
<blockquote type="cite">8)<br>
</blockquote>
<blockquote type="cite">Getting the word out (wiki, how to contribute, what is going on)<br>
</blockquote>
<blockquote type="cite"> - Minutes for the meet<br>
</blockquote>
<blockquote type="cite"> - Community Manager<br>
</blockquote>
<blockquote type="cite"> - Sprints:<br>
</blockquote>
<blockquote type="cite">    - Running the sprint<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">Action Items:<br>
</blockquote>
<blockquote type="cite">- Eric Windisch to Identify topic to set the sprint/ hackathon and time.<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">Thanks,<br>
</blockquote>
<blockquote type="cite">-Sriram<br>
</blockquote>
<blockquote type="cite"><br>
</blockquote>
<blockquote type="cite">_______________________________________________<br>
</blockquote>
<blockquote type="cite">Openstack-security mailing list<br>
</blockquote>
<blockquote type="cite"><a href="mailto:Openstack-security@lists.openstack.org" target="_blank">Openstack-security@lists.openstack.org</a><br>
</blockquote>
</div></div><blockquote type="cite"><a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>
</blockquote>
</div>
</blockquote>
</div>
<br>
</div>
</div>
</div>
</span>
</div>

</blockquote></div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Thanks,</div><div>-Sriram</div>
</div>
</blockquote></div></div></div><br></div></div></blockquote></div><br><br clear="all"><br>-- <br><div>Thanks,</div><div>-Sriram</div>
</div>
</blockquote></div></div></div><br></div></blockquote></div><br><br clear="all"><div><br></div>-- <br><div>Thanks,</div><div>-Sriram</div>
</div>