<div dir="ltr">Dear OSSG,<div><br></div><div>I am seeing some kind of duplication of efforts here or did I miss something? My understanding was, we were also looking for people with strong project expertise to be security reviewers. This call for volunteers appears to be the same. What am i missing here?</div>
<div><br></div><div>thanks,</div><div>-Sriram<br><br><div class="gmail_quote">---------- Forwarded message ----------<br>From: <b class="gmail_sendername">Jeremy Stanley</b> <span dir="ltr"><<a href="mailto:fungi@yuggoth.org">fungi@yuggoth.org</a>></span><br>
Date: Mon, Nov 18, 2013 at 12:20 PM<br>Subject: Re: [openstack-dev] [Nova] Security vulnerability contacts<br>To: <a href="mailto:openstack-dev@lists.openstack.org">openstack-dev@lists.openstack.org</a><br><br><br><div class="im">
On 2013-11-18 11:27:28 -0800 (-0800), Sriram Subramanian wrote:<br>
> Thanks for the initiative. We at the OpenStack Security Group are<br>
> doing large part of these tasks now and are looking for more help<br>
> (particularly around reviews from people that are intimate to the<br>
> project internals). Here are some pointers on how to get involved.<br>
> You probably are inviting more volunteers for OSSG, I am just<br>
> trying to make it clearer. If not, we need to work to make sure<br>
> the efforts are aligned and not duplicated.<br>
<br>
</div>As I understood his initial E-mail, he's looking for experienced<br>
Nova core reviewers with some background in security so that the<br>
vulnerability management team can use them as an initial point of<br>
contact to help develop, backport or review proposed fixes for<br>
embargoed security vulnerabilities prior to their announcement.<br>
<br>
Note that this is not something we're (VMT hat on) only seeking from<br>
Nova. All the official OpenStack projects which receive security<br>
support are strongly encouraged to groom core security<br>
developers/reviewers so that we can have some redundancy and<br>
additional bandwidth on those sorts of interactions (rather than now<br>
where we usually just contact the PTL and hope he/she is around). As<br>
discussed at the summit, we're going to work on putting together a<br>
more detailed prerequisites list for determining whether a given<br>
project is under security support.<br>
<br>
    <a href="https://etherpad.openstack.org/p/IcehouseVMT" target="_blank">https://etherpad.openstack.org/p/IcehouseVMT</a><br>
<span class="HOEnZb"><font color="#888888">--<br>
Jeremy Stanley<br>
</font></span><div class="HOEnZb"><div class="h5"><br>
_______________________________________________<br>
OpenStack-dev mailing list<br>
<a href="mailto:OpenStack-dev@lists.openstack.org">OpenStack-dev@lists.openstack.org</a><br>
<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-dev</a><br>
</div></div></div><br><br clear="all"><div><br></div>-- <br><div>Thanks,</div><div>-Sriram</div>
</div></div>