<div dir="ltr"><div>Hi everyone, <br></div><div>We have received another proposal regarding the Sovereign Tech Fund grants.</div><div><br></div><div>I'd be happy to spend some time on Thursday to make sure we're on the same page.</div><div><br></div><div>In the meantime, please do not hesitate to provide feedback.<br><br></div><div>Cheers,<br></div><div>Hécate<br></div><div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">---------- Forwarded message ---------<br>From: <b class="gmail_sendername" dir="auto">Trevis Elser</b> <span dir="auto"><<a href="mailto:trevis@flipstone.com">trevis@flipstone.com</a>></span><br>Date: Sun, 2 Jul 2023 at 17:27<br>Subject: Cabal security advisory proposal<br>To: hecate@haskell.foundation <hecate@haskell.foundation><br></div><br><br><div dir="ltr">Hi there!<br><br>You may have heard the German government is accepting proposals to work on OSS (<a href="https://sovereigntechfund.de/en/challenges/" target="_blank">https://sovereigntechfund.de/en/challenges/</a>).<br><br>I'm working on putting together a submission for my employer, Flipstone, to add a cabal feature allowing a check of dependencies against the new security advisories database.<br><br>@David Thrane Christiansen Suggested reaching out to you to get any suggestions in submitting this and to see if you might have anything for us to add particularly to the section that is as follows:<br>"Describe your relationship to the maintainers of this technology. Are you yourself the maintainer? Do they know you plan to do this work and do they support it? Please tell us more about how you obtained their support and how you plan to work together to make sure your contributions are accepted."<br><br>For what it's worth my thought is that we'd use the external command functionality that I've seen you've contributed to at <a href="https://github.com/haskell/cabal/pull/9063" target="_blank">https://github.com/haskell/cabal/pull/9063</a> to at least initially build this out and then perhaps work to get it merged or not.<br><br>Finally, I'd love to hear if you have thoughts on accurately representing cabal for the questions:<br><br>"How are decisions regarding this technology's development made? Please describe the project's governance model."<br><br>and<br><br>"How does this project handle security risks? Are there policies, procedures, or tools in place to minimize the introduction of vulnerabilities or undesired contributions?"<br clear="all"><div><br></div><div><br></div><div>Thanks so much for your time!</div><div><br></div><span class="gmail_signature_prefix">-- </span><br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div>Trevis Elser | Chair Stability Working Group | Software Engineer</div><div><img src="https://ci3.googleusercontent.com/mail-sig/AIorK4xddractL7fn92Ew1eMrkeAFoLfZg-EJc-Y-lzd6IVGpdd-Q2-vhZlwv6VPy1a7vYtcOpXxEIo" width="200" height="58"><br></div><div><br></div></div></div></div>
</div></div></div>