
<div dir="ltr">Sriram,<div><br></div><div>There is a difference.</div><div><br></div><div>OSSG is looking to groom people to help improve the security of the projects by (1) being an active developer on the project, and (2) providing a security voice for issues that come up on the project (think architectural / design issues).  This is all about being proactive about improving the security of the codebase through best practices.</div>


<div><br></div><div>VMT is looking for each project to pick some people from the core devs to help triage and fix reported security vulnerabilities.  That is what Russell is talking about in this thread.</div><div><br></div>


<div>To put it another way.  If OSSG does it's job well, then there will be less work for VMT :-)</div><div><br></div><div>Cheers,</div><div>-bryan</div><div><br></div><div><br></div><div><br></div></div><div class="gmail_extra">


<br><br><div class="gmail_quote">On Mon, Nov 18, 2013 at 10:00 PM, Sriram Subramanian <span dir="ltr"><<a href="mailto:sriram@sriramhere.com" target="_blank">sriram@sriramhere.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">


<div dir="ltr">Dear OSSG,<div><br></div><div>I am seeing some kind of duplication of efforts here or did I miss something? My understanding was, we were also looking for people with strong project expertise to be security reviewers. This call for volunteers appears to be the same. What am i missing here?</div>


<div><br></div><div>thanks,</div><div>-Sriram<br><br><div class="gmail_quote"><div><div class="h5">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Jeremy Stanley</b> <span dir="ltr"><<a href="mailto:fungi@yuggoth.org" target="_blank">fungi@yuggoth.org</a>></span><br>


Date: Mon, Nov 18, 2013 at 12:20 PM<br>Subject: Re: [openstack-dev] [Nova] Security vulnerability contacts<br>To: <a href="mailto:openstack-dev@lists.openstack.org" target="_blank">openstack-dev@lists.openstack.org</a><br>


<br><br><div>

On 2013-11-18 11:27:28 -0800 (-0800), Sriram Subramanian wrote:<br>

> Thanks for the initiative. We at the OpenStack Security Group are<br>

> doing large part of these tasks now and are looking for more help<br>

> (particularly around reviews from people that are intimate to the<br>

> project internals). Here are some pointers on how to get involved.<br>

> You probably are inviting more volunteers for OSSG, I am just<br>

> trying to make it clearer. If not, we need to work to make sure<br>

> the efforts are aligned and not duplicated.<br>

<br>

</div>As I understood his initial E-mail, he's looking for experienced<br>

Nova core reviewers with some background in security so that the<br>

vulnerability management team can use them as an initial point of<br>

contact to help develop, backport or review proposed fixes for<br>

embargoed security vulnerabilities prior to their announcement.<br>

<br>

Note that this is not something we're (VMT hat on) only seeking from<br>

Nova. All the official OpenStack projects which receive security<br>

support are strongly encouraged to groom core security<br>

developers/reviewers so that we can have some redundancy and<br>

additional bandwidth on those sorts of interactions (rather than now<br>

where we usually just contact the PTL and hope he/she is around). As<br>

discussed at the summit, we're going to work on putting together a<br>

more detailed prerequisites list for determining whether a given<br>

project is under security support.<br>

<br>

    <a href="https://etherpad.openstack.org/p/IcehouseVMT" target="_blank">https://etherpad.openstack.org/p/IcehouseVMT</a><br>

<span><font color="#888888">--<br>

Jeremy Stanley<br>

</font></span></div></div><div class="im"><div><div><br>

_______________________________________________<br>

OpenStack-dev mailing list<br>

<a href="mailto:OpenStack-dev@lists.openstack.org" target="_blank">OpenStack-dev@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>

</div></div></div></div><span class="HOEnZb"><font color="#888888"><br><br clear="all"><div><br></div>-- <br><div>Thanks,</div><div>-Sriram</div>

</font></span></div></div>

<br>_______________________________________________<br>

Openstack-security mailing list<br>

<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>

<br></blockquote></div><br></div>