Reformat to align with web version: newlines before <p>

perl -0 -i~ -pe 's/(?<!\n)(\<p\>)/\n$1/g' security_vulnerability_process.html

Signed-off-by: Ian Jackson <Ian.Jackson@eu.citrix.com>

Reformat to align with web version: Replace <b> with <strong>

perl -i~ -pe 's{\<(/?)b\>}{<$1strong>}g' security_vulnerability_process.html

Signed-off-by: Ian Jackson <Ian.Jackson@eu.citrix.com>

Reformat to align with web version: Remove header/trailer

The CMS generates these; they aren't in the source for the individual
page on the website as c&p from the edit box.

Signed-off-by: Ian Jackson <Ian.Jackson@eu.citrix.com>

Reformat to align with web version: Remove newlines

perl -0 -i~ -pe 's/\n(?!\<)/ /g' security_vulnerability_process.html

Signed-off-by: Ian Jackson <Ian.Jackson@eu.citrix.com>

Reformat to align with web version: Remove whitespace

perl -i~ -pe 's/^\s+//' security_vulnerability_process.html

Signed-off-by: Ian Jackson <Ian.Jackson@eu.citrix.com>

Expand eligibility for the pre-disclosure list

As discussed on the xen-devel mailing list, expand eligibility of the
pre-disclosure list to include any public hosting provider, as well
as software project:
* Change "Large hosting providers" to "Public hosting providers"
* Remove "widely-deployed" from vendors and distributors
* Add rules of thumb for what constitutes "genuine"
* Add an itemized list of information to be included in the application,
to make expectations clear and (hopefully) applications more streamlined.

The first will allow hosting providers of any size to join.

The second will allow software projects and vendors of any size to join.

The third and fourth will help describe exactly what criteria will be used to
determine eligibility for 1 and 2.

Additionally, this proposal adds the following requirements:
* Applicants and current members must use an e-mail alias, not an individual's
e-mail
* Applicants and current members must submit a statement saying that they have
read, understand, and will abide by this process document.

v4:
 - Make it clear that the organization is committing to respecting the
   secrecy, as well as committing to the secrecy of all members who are exposed
   to the information during the pre-disclosure period.
v3:
 - Organizations already on the list also must conform to requirements for
   a security alias and a statement saying they're read and will abide by
   the policy.
v2:
 - Include "genuine" software providers, and a rule of thumb for "genuine"
 - Include evidence for software providers
 - Allow "a key signed with a key in the PGP strong set" as evidence
 - Require applicants to state they have read and understand policy
   and will abide by it
 - Minor suggested clarifications
 - Added version message at bottom
 - Made security aliases a requirement

Signed-off-by: George Dunlap <george.dunlap@eu.citrix.com>

Clean up minor inconsistency re public disclosure

Include a summary of both kinds of e-mail which may be sent to the
pre-disclosure list in the "Pre-disclosure list" section, before the
discussion of what is expected of pre-disclosure list members.  Also
make it consistently clear that the public disclosure will always be
sent to the pre-disclosure list.

Signed-off-by: George Dunlap <george.dunlap@eu.citrix.com>

Declare version 1.3

Patch review, expert advice and targetted fixes

See <20448.49637.38489.246434@mariner.uk.xensource.com>, section
    "Patch development and review"

Discuss post-embargo disclosure of potentially controversial private decisions

See <20448.49637.38489.246434@mariner.uk.xensource.com>, section
    "11. Transparency"

Clarify the scope of the process to just the hypervisor project

Other projects are handled on a best effort basis by the project lead
with the assistance of the security team.

See <20448.49637.38489.246434@mariner.uk.xensource.com>, section
    "9. Vulnerability process scope"

Clarifications to predisclosure list subscription instructions

Specially:
  * Mention that subscriptions via the webterface do not work / are
    not honoured.
  * Mention the preference for role addresses only.

See <20448.49637.38489.246434@mariner.uk.xensource.com>, section
    "8. Predisclosure subscription process, and email address
        criteria"

Clarify what info predisclosure list members may share during an
embargo

See <20448.49637.38489.246434@mariner.uk.xensource.com>, section
  "7. Public communications during the embargo period"

Baseline version.

Downloaded from
http://www.xen.org/projects/security_vulnerability_process.html
at Thu Aug 16 15:04:25 BST 2012