
<div dir="ltr">+1<div><br></div><div>-bryan</div></div><div class="gmail_extra"><br><br><div class="gmail_quote">On Tue, Nov 19, 2013 at 8:54 AM, Clark, Robert Graham <span dir="ltr"><<a href="mailto:robert.clark@hp.com" target="_blank">robert.clark@hp.com</a>></span> wrote:<br>


<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">Deciding whether or not something is an exploitable vulnerability and<br>

how it should be handled are difficult tasks, not least in the OpenStack<br>

world where most people run different deployment types, have different<br>

attack models and threats to consider.<br>

<br>

Over the last 6 months I've occasionally been roped in to help the VMT<br>

make decisions about how security vulnerabilities should be handled. At<br>

the VMT session this summit, it was suggested that the OSSG involvement<br>

with the VMT should be more formalised. I couldn't agree more with this<br>

statement, I'd like to continue working with the VMT as I've found the<br>

work rewarding and beneficial. HP now operates OpenStack clouds in the<br>

Public, Hybrid and Private scopes, meaning that I and my security team<br>

are well positioned to address the concerns of most cloud deployers.<br>

<br>

If the OSSG were to start being involved with the VMT more regularly<br>

it's likely that we'd need more than one person to cover VMT<br>

engagements. I have the resource within my security team to do this but<br>

it would likely make sense for this to be someone from another<br>

organisation, being in a different time zone would also likely be<br>

beneficial.<br>

<br>

I believe that Joel Coffman from APL has volunteered to work with the<br>

VMT too, is there any objection within the OSSG to the proposal that we<br>

start with myself and Joel providing support to the VMT? There will be<br>

scope to change the team around and also for Joel or I to draw on the<br>

expertise from others in the OSSG for individual issues.<br>

<br>

If members of the OSSG agree this is a reasonable first step to further<br>

involvement with the VMT, I'll start a discussion with them to work out<br>

the best way forward.<br>

<br>

Regards<br>

-Rob<br>

<br>

Robert Clark<br>

Security Architect<br>

HP Cloud Services<br>

<br>

<br>_______________________________________________<br>

Openstack-security mailing list<br>

<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>

<br></blockquote></div><br></div>