<div dir="ltr"><div>Hi,</div><div><br></div><div>Not yet. We want to make sure we have consensus (which I think we have in the security team) and then alignment with GENIVI IPR policy. I believe the intention is to announce the mailing list set up on the genivi-projects list, with the associated policies once its ready.</div><div><br>Walt, would you be able to share responsible disclosure policies for vulnerabilities found from AGL? That might be useful input to the team.</div><div><br></div><div>Cheers,</div><div><br></div><div>JEremiah</div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Aug 23, 2016 at 3:53 PM, Walt Miner <span dir="ltr"><<a href="mailto:wminer@linuxfoundation.org" target="_blank">wminer@linuxfoundation.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">So was a separate mail list set up?</div><div class="gmail_extra"><div><div class="h5"><br><div class="gmail_quote">On Tue, Aug 23, 2016 at 2:52 PM, Jeremiah Foster <span dir="ltr"><<a href="mailto:jeremiah.foster@pelagicore.com" target="_blank">jeremiah.foster@pelagicore.<wbr>com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">Hiya Walt,</div><div class="gmail_quote"><br></div><div class="gmail_quote"><span>On Tue, Aug 23, 2016 at 3:49 PM, Walt Miner <span dir="ltr"><<a href="mailto:wminer@linuxfoundation.org" target="_blank">wminer@linuxfoundation.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">Non-GENIVI members such as myself have access to the GENIVI projects mail list. If you move the discussion elsewhere doesn't that close it it off to non-GENIVI members? </div></blockquote><div><br></div></span><div>We intentionally want non-members to be able to join the discussion. We only plan to moderate the list based on a set of published policies -- we're still working those policies out.</div><div><br></div><div>Cheers,</div><div><br></div><div>Jeremiah</div><div> </div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>Walt</div></div><div class="gmail_extra"><br><div class="gmail_quote"><span><div><div>On Tue, Aug 16, 2016 at 9:57 AM, Stacy Janes <span dir="ltr"><<a href="mailto:stacy.janes@irdeto.com" target="_blank">stacy.janes@irdeto.com</a>></span> wrote:<br></div></div></span><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div>







<div bgcolor="white" lang="EN-US" link="blue" vlink="purple">
<div><span>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Sorry, should not have used EG, as yes, it is a team instead of an Expert group.  I am fine with “team-sec” or “genivi-security” or similar.<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Your comment about private vs public lists brings up a question.  The point of the output of the team will be to document vulnerabilities and suggested mitigations and/or security requirements
 in specific projects.   In commercial engagements, this information is obviously highly confidential for the product owner since they contain information on how to attack a system.  How public do we want the analysis portion and final product (security review
 document) of a particular project to be?  <u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">As you say, for responsible disclosure reasons, maybe we conduct review conversations in a private list and work with the respective EG on the distribution of the final release to the public
 list?<u></u><u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri"><u></u> <u></u></span></p>
<p class="MsoNormal"><span style="font-size:11.0pt;font-family:Calibri">Stacy<u></u><u></u></span></p>
</span><p class="MsoNormal">'t be able to participate
 and that might be inconvenient for discussions with upstream. In such a case I think we ought to avoid the moniker "eg-sec" simply because it makes the work look like a formal GENIVI EG with the required OEM, and Tier 1 participation in specific roles and
 my understanding is the the Security team is a subset of the SAT, or was in the past. I think the Security team ought to be arranged a bit differently to preserve the independent approach that the group can bring to the domain. Calling it "ivi-security" or
 "genivi-security" or similar is my suggestion.<br></p><div><div><div><div><div><div><p class="MsoNormal"><u></u></p>
</div>
<div>
<p class="MsoNormal"><br>
Regards,<u></u><u></u></p>
</div>
<div>
<p class="MsoNormal"><u></u> <u></u></p>
</div>
<div>
<p class="MsoNormal">Jeremiah</p></div></div></div></div></div></div></div></div></div></div></blockquote></div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><div style="color:rgb(136,136,136)"><br></div></div></div></div></div></div></div></div></div></div>
</div>
</blockquote></div><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><br></div></div></div></div></div></div></div>
</div></div>
</blockquote></div><br><br clear="all"><div><br></div></div></div><span class="">-- <br><div data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div dir="ltr"><span style="color:rgb(136,136,136)">Walt Miner</span></div><div dir="ltr"><span style="color:rgb(136,136,136)"><br></span></div><div dir="ltr"><span style="color:rgb(136,136,136)"> <a href="https://twitter.com/VStarWalt" target="_blank"><img src="https://docs.google.com/uc?export=download&id=0ByWQ8KVvCEUreGlqdXdwMTE5SXM&revid=0ByWQ8KVvCEUrSXIzMmFsMkxxR3ZybnR5dE9tU3dRc3d6cFFZPQ"></a></span><div dir="ltr"><br></div><div style="color:rgb(136,136,136)">Engineering Project Manager</div><div style="color:rgb(136,136,136)">The Linux Foundation<br></div><div style="color:rgb(136,136,136)">mobile: <a value="+14086234789" style="color:rgb(17,85,204)">+1.847.502.7087</a></div><div style="color:rgb(136,136,136)"><br></div><div style="color:rgb(136,136,136)"><br></div><div style="color:rgb(136,136,136)">Visit us at:</div><div style="color:rgb(136,136,136)"><a href="http://automotive.linuxfoundation.org" target="_blank">automotive.linuxfoundation.org</a><br></div><div style="color:rgb(136,136,136)"><a href="http://www.linuxfoundation.org" target="_blank">www.linuxfoundation.org</a></div><div style="color:rgb(136,136,136)"><br></div><div style="color:rgb(136,136,136)"><br></div></div></div></div></div></div></div></div></div></div>
</span></div>
</blockquote></div><br><br clear="all"><div><br></div>-- <br><div class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div><font color="#ea8602" face="Helvetica"><span style="font-size:12px">Jeremiah C. Foster</span></font><br><div style="color:rgb(0,0,0)"><font face="Calibri" size="2">GENIVI COMMUNITY MANAGER</font></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px"><font face="Calibri" size="2"><br></font></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px"><font face="Calibri" size="2">Pelagicore AB</font></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px"><font face="Calibri" size="2">Ekelundsgatan 4, 6tr, SE-411 18 <br>Gothenburg, Sweden<br></font></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px"><font face="Calibri" size="2">M: +1.860.772.9242<br></font></div><div style="color:rgb(0,0,0);font-family:Helvetica;font-size:12px"><font face="Calibri" size="2"><a href="mailto:jeremiah.foster@pelagicore.com" target="_blank">jeremiah.foster@pelagicore.com</a><br><br></font></div></div><img src="cid:A18BDE67-135B-414C-A84C-F167D30AD145" height="38" width="177"><br></div></div></div></div></div></div></div>
</div></div>