<div dir="ltr"><div>Hey all,</div><div><br></div><div>A recent topic at Ironic meetings the last couple of weeks have been around vulnerability management. Ironic has not been using the OpenStack VMT traditionally; for reasons that AFAICT are lost to time.</div><div><br></div><div>Is there any reason Ironic should not be vulnerability-managed? Is the security team willing to have us? <br></div><div><br></div><div><br></div><div>The only potential complication is that Ironic may receive reports for vendor libraries used by Ironic but not maintained by Ironic -- I was hoping there might already be some historical precedent for how we handle those; it can't be that unique to Ironic.</div><div><br></div><div>What do folks think?</div><div><br></div><div>Thanks,</div><div>Jay Faulkner</div><div>Ironic PTL</div><div>TC Member<br></div></div>