<p dir="ltr">Hi folks, during the call today, Markus and Sunil brought up the fact<br>
that they had concerns about distributing 100 boxen to developers<br>
(<a href="http://projectdanube.org">projectdanube.org</a>), and thought it would be a good idea to discuss<br>
what those concerns are.  This might help us direct the 1.0 todo list<br>
as well.</p>
<p dir="ltr">To start, my concerns are that we've written Plinth and some glue code<br>
(like Augeas-lenses, FBuddy, etc.) for the project.  I'm pretty sure<br>
all of these things were necessary (because nothing available in<br>
Debian did them in the coordinated way we needed them to), but I'm<br>
uncomfortable releasing externally-facing services without getting<br>
those services a proper security review.  I'm sure we'll do our best,<br>
but it also feels negligent to ask people to rely on our tools without<br>
making reasonable external verifications.</p>
<p dir="ltr">Nick</p>