<html>
  <head>
    <meta http-equiv="Content-Type" content="text/html; charset=utf-8">
  </head>
  <body text="#000000" bgcolor="#FFFFFF">
    On 7/16/2018 5:19 AM, <a class="moz-txt-link-abbreviated" href="mailto:openbmc-request@lists.ozlabs.org">openbmc-request@lists.ozlabs.org</a> wrote:<br>
    <blockquote type="cite"
      cite="mid:mailman.985.1531736364.32318.openbmc@lists.ozlabs.org">
      <pre wrap="">Message: 1
Date: Sun, 15 Jul 2018 22:11:18 -0400
From: Brad Bishop <a class="moz-txt-link-rfc2396E" href="mailto:bradleyb@fuzziesquirrel.com" moz-do-not-send="true"><bradleyb@fuzziesquirrel.com></a>
To: Andrew Jeffery <a class="moz-txt-link-rfc2396E" href="mailto:andrew@aj.id.au" moz-do-not-send="true"><andrew@aj.id.au></a>
Cc: <a class="moz-txt-link-abbreviated" href="mailto:openbmc@lists.ozlabs.org" moz-do-not-send="true">openbmc@lists.ozlabs.org</a>
Subject: Re: How to handle security vulnerabilities (was: OpenBMC
        security workgroup status)
Message-ID: <a class="moz-txt-link-rfc2396E" href="mailto:AC6EEF0D-8D17-4936-A6DD-4059CB459EBC@fuzziesquirrel.com" moz-do-not-send="true"><AC6EEF0D-8D17-4936-A6DD-4059CB459EBC@fuzziesquirrel.com></a>
Content-Type: text/plain; charset=us-ascii


</pre>
      <blockquote type="cite" style="color: #000000;">
        <pre wrap="">On Jul 13, 2018, at 2:56 AM, Andrew Jeffery <a class="moz-txt-link-rfc2396E" href="mailto:andrew@aj.id.au" moz-do-not-send="true"><andrew@aj.id.au></a> wrote:

On Fri, 13 Jul 2018, at 07:49, Joseph Reynolds wrote:
</pre>
        <blockquote type="cite" style="color: #000000;">
          <blockquote type="cite" style="color: #000000;">
            <pre wrap="">What's the short-term strategy for handling [security] vulnerability
reports received in the gap between now and getting some formal
process in place? 
</pre>
          </blockquote>
          <pre wrap="">We don't have a strategy.  Let's discuss it here.

Officially (<a class="moz-txt-link-freetext" href="https://github.com/openbmc/openbmc/" moz-do-not-send="true">https://github.com/openbmc/openbmc/</a> section "Bug Reporting")
issues are managed on GitHub. 

Unofficially, Brad volunteered to accept one batch of security
vulnerability reports and distribute them, presumably to the OpenBMC TSC
members (<a class="moz-txt-link-freetext" href="https://github.com/openbmc/docs" moz-do-not-send="true">https://github.com/openbmc/docs</a> section "Technical Steering
Committee ") or their delegates.  I assume they would privately contact
a trusted OpenBMC contributor who could address the problem. 

We could adapt the Linux model
(<a class="moz-txt-link-freetext" href="https://www.kernel.org/doc/html/v4.16/admin-guide/security-bugs.html" moz-do-not-send="true">https://www.kernel.org/doc/html/v4.16/admin-guide/security-bugs.html</a>),
although I am still looking for information on what the Linux security
team does with the bug report.  For example, how security group members
track and discuss problems among themselves, how they pull in additional
resources to fix or mitigate the problem, and how they inform downstream
distros before announcing the problem, etc. 
</pre>
        </blockquote>
        <pre wrap="">I thought the documention described most of this? <a class="moz-txt-link-abbreviated" href="mailto:security@kernel.org" moz-do-not-send="true">security@kernel.org</a> is a private list, so discussions can happen there freely. With respect to informing downstream distros, as mentioned that's done via the <a class="moz-txt-link-abbreviated" href="mailto:linux-distros@vs.openwall.org" moz-do-not-send="true">linux-distros@vs.openwall.org</a> list. As for how they pull in additional resources to fix or mitigate the problem, that's going to depend on the affected parties. No-one can order anyone to fix a particular problem, but the developers/maintainers/vendors involved have skin in the game so should be motivated to fix the issue.

</pre>
        <blockquote type="cite" style="color: #000000;">
          <pre wrap="">I think the first step for the OpenBMC team is to establish an email
address (like <a class="moz-txt-link-abbreviated" href="mailto:security@openbmc.org" moz-do-not-send="true">security@openbmc.org</a>), subscribe only trusted people to
that email list, and update the docs to explain that you should email
the security team for security questions, and use issues for everything
else. 
</pre>
        </blockquote>
        <pre wrap="">Sounds good to me. Who can sort out security@? Brad? I'm sure we could sort out list hosting on ozlabs.org if necessary (like we use for this list).
</pre>
      </blockquote>
      <pre wrap="">Unless someone replies in the negative in the next couple days, lets just
do another list on ozlabs.org, if ozlabs.org is ok with that <span class="moz-smiley-s1" title=":-)"><span>:-)</span></span>

</pre>
      <blockquote type="cite" style="color: #000000;">
        <blockquote type="cite" style="color: #000000;">
          <pre wrap="">Presumably, the security team would communicate privately among
themselves and the submitter to assess the situation, and contact
OpenBMC community members privately to address the problem. 
This would be an easy step to take, and would move the team in the right
direction.  What do you think?
</pre>
        </blockquote>
        <pre wrap="">Sounds good enough for the moment!

Andrew
</pre>
      </blockquote>
    </blockquote>
    The description of the OpenBMC security vulnerability reporting
    program we agreed to during the community call is now in review:
    <a class="moz-txt-link-freetext" href="https://gerrit.openbmc-project.xyz/#/c/11511">https://gerrit.openbmc-project.xyz/#/c/11511</a>, so please review it.<br>
    <br>
  </body>
</html>