<div dir="ltr"><div class="gmail_default" style="font-size:small">I submitted a proposal for Shawn, Fen, and myself:</div><div class="gmail_default" style="font-size:small"><br></div><div class="gmail_default" style="font-size:small"><h2 style="font-family:'Lucida Grande',Lucida,Arial,sans-serif;font-weight:inherit;line-height:2.6666666667em;color:rgb(51,51,51);margin:0px;font-size:1.125em;padding:0px;border:0px;vertical-align:baseline;background-color:rgba(255,255,255,0.901961)">Consumer to Collaborator: Re-imaging the US Governments role in Open Source</h2><div class="" style="margin:0px;padding:0px;border:0px;font-family:'Lucida Grande',Lucida,Arial,sans-serif;line-height:24px;font-size:14px;vertical-align:baseline;color:rgb(51,51,51);background-color:rgba(255,255,255,0.901961)"><div class="" style="margin:0px;padding:0px 15px;border:0px;font-family:inherit;font-style:inherit;font-variant:inherit;line-height:inherit;vertical-align:baseline;min-height:1px;float:left;width:550px"><div class="" style="margin:0px;padding:0px;border:0px;font-family:inherit;font-style:inherit;font-variant:inherit;line-height:inherit;vertical-align:baseline"><p style="margin:0px 0px 18px;padding:0px;border:0px;font-family:inherit;font-style:inherit;font-variant:inherit;line-height:inherit;vertical-align:baseline">Government agencies are often hesitant to use open source tools out of concerns of security and compliance issues. This hesitancy to use open source deprives many government agencies from closely collaborating with others to create software that is finely tuned and widely available to scratch its own itch. The five-year old OpenSCAP community is helping to change that and re-imagining the US Governments role in open source through its NIST-Certified SCAP 1.2 scanning software and growing body of open source licensed SCAP content. By the OpenSCAP suite scanning and configuration management tools, government agencies looking to become high velocity organizations can automate the cumbersome process certifying a server has been properly hardened for production and begin to develop community resources for hardening of other popular open source tools. The OpenSCAP community is actively developing suite of software tools to make continuous monitoring in agile environments easier, especially for developers, who often do not realize they could be scanning their systems more collaboratively with Ops. OpenSCAP is not merely a secure piece of open source software, it is software that helps demonstrate security and compliance. The SCAP-Security-Guide Project is the only source of official configuration management SCAP and hardening content for Linux that is licensed open source and also directly reviewed by official government agencies. Initially started (and still significantly funded) by Red Hat, the OpenSCAP project has recently moved it's repository from the the Fedora Project to GitHub and has seen an increase in the pace of development.</p><p style="margin:0px 0px 18px;padding:0px;border:0px;font-family:inherit;font-style:inherit;font-variant:inherit;line-height:inherit;vertical-align:baseline"><br></p><p style="margin:0px 0px 18px;padding:0px;border:0px;font-family:inherit;font-style:inherit;font-variant:inherit;line-height:inherit;vertical-align:baseline">Greg</p></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Apr 15, 2015 at 11:06 AM, Fen Labalme <span dir="ltr"><<a href="mailto:fen@civicactions.com" target="_blank">fen@civicactions.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr">I would like to see such a session and will help make it happen (if I can actually provide any help, as I'm still an OpenSCAP noob).<div><br></div><div>What I am particularly excited about is how open source tools can reach a wider audience, provide protection for a larger set of services, and - with community review and contributions - become to de facto standard for security scanning and compliance. And when I said "services" above, I not only mean "servers, desktops and mobile" but also Drupal, Wordpress, Apache, MySQL, etc.</div><span class="HOEnZb"><font color="#888888"><div><br></div><div>=Fen</div></font></span><div class="gmail_extra"><br><div class="gmail_quote"><div><div class="h5">On Wed, Apr 15, 2015 at 7:08 AM, Greg Elin <span dir="ltr"><<a href="mailto:gregelin@gitmachines.com" target="_blank">gregelin@gitmachines.com</a>></span> wrote:<br></div></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div><div class="h5"><div dir="ltr"><div style="font-size:small">Nathen mentioned "monitoring, compliance, and open source" as key topics:</div><div style="font-size:small"><br></div><div style="font-size:small">> <span style="font-size:13px">Topics will generally focus on the people, culture, processes, and systems that make DevOps possible.  Keys to that, of course, include monitoring, compliance, open source, and more.</span></div><div style="font-size:small"><span style="font-size:13px"><br></span></div><div style="font-size:small"><span style="font-size:13px">I think OpenSCAP hits all three of these. That said I think Gov role in open source is of wider appeal. </span></div><div style="font-size:small"><span style="font-size:13px"><br></span></div><div>I agree with you observation. How about:</div><div style="font-size:small"><span style="font-size:13px"><br></span></div><div style="font-size:small"><span style="font-size:13px">"OpenSCAP & Open Source FISMA Compliance: Reimagining </span><span style="font-size:13px">the US Governments role in Open Source via security and compliance"?</span></div><span><font color="#888888"><div style="font-size:small"><span style="font-size:13px"><br></span></div><div style="font-size:small"><span style="font-size:13px">Greg</span></div><div style="font-size:small"><span style="font-size:13px"><br></span></div></font></span></div><div><div><div class="gmail_extra"><br><div class="gmail_quote">On Tue, Apr 14, 2015 at 7:15 PM, Shawn Wells <span dir="ltr"><<a href="mailto:shawn@redhat.com" target="_blank">shawn@redhat.com</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span><br>
<br>
On 4/14/15 10:42 AM, Greg Elin wrote:<br>
<blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
Most of the attendees at DevOps Days are developers and web ops/sys admins and those people doing a hybrid of both and continuous integration.  But definitely a techie group.<br>
<br>
We hope there will be a good mix of Govies, Dc startups and techie.<br>
</blockquote>
<br></span>
What do you feel the OpenSCAP community could offer? From Nathen's comments, talks on how SCAP could help bridge security compliance across bimodal environments wouldn't be so interesting to the audience.<br>
<br>
IMO, establishing security processes that span legacy environments (aka large enterprise applications, VMWare-based environments) and DevOps-ready (stateless apps, clouds, etc) would help ensure success of the various DevOps movements.<br>
</blockquote></div><br></div>
</div></div><br></div></div><span class="">_______________________________________________<br>
Open-scap-list mailing list<br>
<a href="mailto:Open-scap-list@redhat.com" target="_blank">Open-scap-list@redhat.com</a><br>
<a href="https://www.redhat.com/mailman/listinfo/open-scap-list" target="_blank">https://www.redhat.com/mailman/listinfo/open-scap-list</a><br></span></blockquote></div><div><br></div><div><div dir="ltr"><div><br></div></div></div>
</div></div>
</blockquote></div><br></div>