<div dir="ltr">On Thu, May 7, 2015 at 4:18 PM, Raimo Niskanen <span dir="ltr"><<a href="mailto:raimo+erlang-questions@erix.ericsson.se" target="_blank">raimo+erlang-questions@erix.ericsson.se</a>></span> wrote:<br><div class="gmail_extra"><div class="gmail_quote"><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On Thu, May 07, 2015 at 04:40:53PM +0200, Eric Skoglund wrote:<br>
> I was at a meetup last night with some FOSS people and the question on<br>
> how to handle security bugs in open source projects came up. Why this<br>
> came up was due to a security bug that was found and there wasn't a<br>
> proper procedure set up, leading to the bug being made public before<br>
> everyone was properly notified.<br>
><br>
> I think it would be a good idea to have a discussion on how security<br>
> issues should be handled. So that something like the above can be prevented.<br>
><br>
> One thing that seems like it is popular for FOSS software is to have a<br>
> mail address specifically for security related bugs that a subset of<br>
> maintainers have access to (curl [0] or rails [1]). It might be a good<br>
> idea to set up <a href="mailto:security@erlang.org">security@erlang.org</a> for something like this.<br>
<br>
</span>There is actually an erlang-security at erlang dot org that is intended for<br>
this purpose.  security at erlang dot org goes to the website admin for<br>
website security issues.<br>
<span class="im HOEnZb"></span></blockquote><div><br></div><div>So is erlang-security at erlang dot org the right address to use, rather than<br>Ingela or Kenneth's personal addresses?<br><br></div><div>I agree with Eric that having a formal procedure is a good idea. You should<br></div><div>decide on some procedure, no matter how minimal, and publish it on the<br></div><div>wiki. In the absence of such guidance it's very easy to assume that the right<br></div><div>thing to do is to push a topic branch and issue a pull request.<br></div></div></div></div>