
<div dir="ltr"><div><div><div><div>Hi,<br><br></div>How about having it like this:<br></div>OSSA-2014-01, OSSA-2014-02, OSSA-2014-03<br></div>OSSN-0114, OSSN-0214, OSSN-0314<br><br></div>This way you keep the relative ordering for both and it is easy to see when was what issued with no confusion. I would also suggest adding categories to OSSN, e.g, instead of OSSN-0114 have something like OSSN-NO-0114 where the extra NO (or GL or something) in the middle indicates an acronym for the project (Nova).<br>

<div class="gmail_extra"><br></div><div class="gmail_extra">--Ahmed<br><br></div><div class="gmail_extra"><div class="gmail_quote">On Tue, Jan 14, 2014 at 10:37 AM, Thierry Carrez <span dir="ltr"><<a href="mailto:thierry@openstack.org" target="_blank">thierry@openstack.org</a>></span> wrote:<br>

<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div class="im">Nathan Kinder wrote:<br>

>> One note I would use the same number sequence, e.g.:<br>

><br>

>> OSSA-2014-01 OSSA-2014-02 OSSN-2014-03<br>

><br>

>> The reason for this: "OSSA-2014-01" vs "OSSN-2014-01" is kind of<br>

>> messy, harder to search/etc. Also I would advice using more than 2<br>

>> digits (3 should be safe).<br>

><br>

> I like it.  That prevents the OSSA/OSSN confusion problem and it also<br>

> has the benefit of allowing us to easily compare the publishing date<br>

> between an OSSA and OSSN.<br>

<br>

</div>I think it actually increases the confusion, and we'd need to build some<br>

central numbering authority to make sure we don't reuse the same number...<br>

<br>

OSSAs (and CVEs) are vulnerabilities, so they are serial events very<br>

related to the time of their publication, hence the numbering. OSSNs are<br>

more like security best practices: and those are permanent, eternal and<br>

their order doesn't matter that much. What you need is a convenient way<br>

to uniquely identify them, and then a mechanism to publish updated<br>

version of them if need be.<br>

<br>

For example you could use a single serial number with a date-based<br>

edition version, like "OSSN 12 (2014-01-20 edition)". That would let you<br>

revisit some topics as the software evolves over time.<br>

<br>

(In summary, OSSAs are like a calendar with events, while OSSNs are like<br>

a reference book with chapters. You would not number book chapters after<br>

the date the chapter was originally written).<br>

<br>

About CVEs: since anybody can request a CVE to be assigned about a<br>

specific issue and everyone has a different opinion on what constitues a<br>

"vulnerability", there have been a number of issues in the past that had<br>

CVE assigned to them and did not trigger an OSSA. They tend to fall into<br>

two categories though: CVE assigned by the VMT but not triggering an<br>

OSSA, or CVE assigned by some other party (generally a distribution).<br>

For that reason I don't think you need to be concerned too much about<br>

CVE assignment. To handle the corner case where one is warranted but<br>

nobody ever assigned one, you can always ask the VMT or this list for one.<br>

<span class="HOEnZb"><font color="#888888"><br>

--<br>

Thierry Carrez (ttx)<br>

<br>

</font></span><br>_______________________________________________<br>

Openstack-security mailing list<br>

<a href="mailto:Openstack-security@lists.openstack.org">Openstack-security@lists.openstack.org</a><br>

<a href="http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security" target="_blank">http://lists.openstack.org/cgi-bin/mailman/listinfo/openstack-security</a><br>

<br></blockquote></div><br></div></div>