<div dir="ltr">Hi all,<br><div>Here are the notes from today's meeting (also stored <a href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-08">here</a>):</div><div><br></div><div><h2 style="box-sizing:border-box;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";margin-top:0px">Agenda</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:16px;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";font-size:16px"><li style="box-sizing:border-box">Possible cyber security applications of SSE</li><li style="box-sizing:border-box;margin-top:0.25em">Review Shayne's <a href="https://github.com/openid/sse/issues/4#issuecomment-1057127339" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none">updated Stream ID proposal</a><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">Yes/no on making all read-only values in the stream configuration REQUIRED</li><li style="box-sizing:border-box;margin-top:0.25em">Yes/no on PUT and PATCH for replacing and partial update (respectively) as is standard<ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">Alternative is to use Google method of masking variables in the update call</li></ul></li><li style="box-sizing:border-box;margin-top:0.25em">Yes/no on adding <code style="box-sizing:border-box;font-family:ui-monospace,SFMono-Regular,"SF Mono",Menlo,Consolas,"Liberation Mono",monospace;font-size:13.6px;padding:0.2em 0.4em;margin:0px;border-radius:6px">aud</code> to the arguments that create the stream</li></ul></li><li style="box-sizing:border-box;margin-top:0.25em">VeriClouds SSE Transmitter Overview</li></ul><h2 style="box-sizing:border-box;margin-top:24px;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji""><a id="gmail-user-content-attendees" class="gmail-anchor" href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-08#attendees" aria-hidden="true" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none;float:left;padding-right:4px;line-height:1"></a>Attendees</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:16px;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";font-size:16px"><li style="box-sizing:border-box">Atul Tulshibagwale (SGNL)</li><li style="box-sizing:border-box;margin-top:0.25em">Stefan Duernberger (Cisco)</li><li style="box-sizing:border-box;margin-top:0.25em">Shayne Miel (Cisco)</li><li style="box-sizing:border-box;margin-top:0.25em">Jason Garbis (Appgate)</li><li style="box-sizing:border-box;margin-top:0.25em">Stan Bounev (VeriClouds)</li><li style="box-sizing:border-box;margin-top:0.25em">Tom Sato (VeriClouds)</li><li style="box-sizing:border-box;margin-top:0.25em">Nancy Cam-Winget (Cisco)</li><li style="box-sizing:border-box;margin-top:0.25em">Tim Cappalli (Microsoft)</li><li style="box-sizing:border-box;margin-top:0.25em">Rifaat Shekh-Yusef (Okta)</li><li style="box-sizing:border-box;margin-top:0.25em">Lee Tschetter (Okta)</li><li style="box-sizing:border-box;margin-top:0.25em">Gail Hodges (OpenID Foundation)</li></ul><h2 style="box-sizing:border-box;margin-top:24px;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji""><a id="gmail-user-content-notes" class="gmail-anchor" href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-08#notes" aria-hidden="true" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none;float:left;padding-right:4px;line-height:1"></a>Notes</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;color:rgb(36,41,47);font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";font-size:16px;margin-bottom:0px"><li style="box-sizing:border-box"><p style="box-sizing:border-box;margin-top:16px;margin-bottom:16px">Intro:</p><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">Jason: Chief Product Officer at Appgate - Also co-chair of Cloud Security Alliance - working on zero-trust. Excited about SSE - could be a way to tie ... see lots of potential.</li><li style="box-sizing:border-box;margin-top:0.25em">Jason needs to sign the membership agreement.</li><li style="box-sizing:border-box;margin-top:0.25em"></li></ul></li><li style="box-sizing:border-box;margin-top:0.25em"><p style="box-sizing:border-box;margin-top:16px;margin-bottom:16px">Shayne's proposal</p><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">What happens when a read-only value is supposed to be null?</li><li style="box-sizing:border-box;margin-top:0.25em">PUT is to replace, PATCH is to update. What happens if there are missing read-only values in a PUT?</li><li style="box-sizing:border-box;margin-top:0.25em">Do we need to support PUT? There is no way to set a value to "none" using PATCH</li><li style="box-sizing:border-box;margin-top:0.25em">Versioning could solve the backward compatibility problem</li><li style="box-sizing:border-box;margin-top:0.25em">The error response (4xx) could be used to force the client to do a GET</li><li style="box-sizing:border-box;margin-top:0.25em">We at least need a version number in the Transmitter configuration (prefer that over putting it in the stream configuration)</li><li style="box-sizing:border-box;margin-top:0.25em">SCIM supports versioning at a stream level, but we could do this in the future</li><li style="box-sizing:border-box;margin-top:0.25em">We may have to support it at a metadata level, because some methods like "add-subject" may have a different signature for v1 versus v2, say.</li><li style="box-sizing:border-box;margin-top:0.25em">We agree that we want versioning, so PUT can behave differently, but we can discuss how the versioning works separately</li><li style="box-sizing:border-box;margin-top:0.25em">Do we need a distinct error code to force the receiver to do a GET? How would the transmitter know that it's a formatting issue from the receiver? We can have distinct error codes based on the parseability of the input (e.g. 422)</li><li style="box-sizing:border-box;margin-top:0.25em">Missing read-only values should result in a 422 error code</li><li style="box-sizing:border-box;margin-top:0.25em">What happens when the Receiver specifies a wrong value for a read-only attribute? It should return a 422 error code, because it is similar to a missing read-only value (incorrect input)</li><li style="box-sizing:border-box;margin-top:0.25em">So we have decided that read-only values are required, and the Transmitter MUST provide them</li><li style="box-sizing:border-box;margin-top:0.25em">How does SCIM do this? Answer: Not well! SCIM may need fixing here too.</li><li style="box-sizing:border-box;margin-top:0.25em">'aud' value in the arguments to create stream? It's OK for the client to specify, since the client may want different values at different times</li><li style="box-sizing:border-box;margin-top:0.25em">How does the Transmitter respond if they get an unacceptable audience value? We need to discuss this separately</li><li style="box-sizing:border-box;margin-top:0.25em">Is the intent that there are going to be different streams and part of the authorization / differentiation is going to come from the token and part of it is going to be from the audience value? Largely yes</li><li style="box-sizing:border-box;margin-top:0.25em">The audience field is not changed by the Receiver, but it could be set in the stream creation, as per Shayne's proposal</li><li style="box-sizing:border-box;margin-top:0.25em">The only way to change the audience would be to delete the stream and re-create it with a new audience value</li><li style="box-sizing:border-box;margin-top:0.25em">We should discuss this in the next call</li></ul></li><li style="box-sizing:border-box;margin-top:0.25em"><p style="box-sizing:border-box;margin-top:16px;margin-bottom:16px">Cyber-security applications of SSE:</p><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">Can SSE be used to address some of the cybersecurity concerns that are more urgent due to the current Russia-Ukraine conflict</li><li style="box-sizing:border-box;margin-top:0.25em">Tom and Gail discussed this yesterday, Atul and Nancy provided some comments too. What does the working group think about this?</li><li style="box-sizing:border-box;margin-top:0.25em">Are there any overlapping standards that provide similar capability as SSE? (Nancy mentioned STIX/TAXII, OpenIOC, IETF RFC 8600, OWASP)</li><li style="box-sizing:border-box;margin-top:0.25em">Raw telemetry used to advice decisions of enforcement?</li><li style="box-sizing:border-box;margin-top:0.25em">Cybersecurity is an active space, so anything we contribute could be very narrow</li><li style="box-sizing:border-box;margin-top:0.25em">We should be open in the cyber-security community. Any information can be valuable to a cyber-security people</li><li style="box-sizing:border-box;margin-top:0.25em">Phil Hunt put forward a <a href="https://datatracker.ietf.org/doc/draft-hunt-scim-events" rel="nofollow" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none">profile</a> in the SCIM WG that could leverage SSE</li><li style="box-sizing:border-box;margin-top:0.25em">The SET (RFC 8417) that SSE uses is also defined in the IETF</li><li style="box-sizing:border-box;margin-top:0.25em">Should we discuss this in the IETF? We should be doing more in the OpenID Foundation about cyber security. We should highlight the value that SSE can provide</li><li style="box-sizing:border-box;margin-top:0.25em">STIX / TAXII and <a href="https://www.first.org/" rel="nofollow" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none">FIRST</a> communities</li><li style="box-sizing:border-box;margin-top:0.25em">Okta believes that cyber-security is an identity centric problem</li><li style="box-sizing:border-box;margin-top:0.25em">We can do simple things like global session logout / termination that can have a big impact on improving security</li><li style="box-sizing:border-box;margin-top:0.25em">Things are getting so granular that cyber-security is increasingly an identity problem</li><li style="box-sizing:border-box;margin-top:0.25em">If there is work to be done in terms of standards crunching, how can we accelerate that in the face of the urgency we have</li><li style="box-sizing:border-box;margin-top:0.25em">Can we have a hypothesis together in 2 weeks and discuss this with cyber-security experts?</li><li style="box-sizing:border-box;margin-top:0.25em">Having some scenarios painted that show how this can work as a "central nervous system" in a cyber-security defense</li><li style="box-sizing:border-box;margin-top:0.25em">Okta working on demos / proof-of-concepts that can be exciting to ISVs</li><li style="box-sizing:border-box;margin-top:0.25em">Its a path to failure if the expertise is manifested in only 3 products, whereas other vendor products are not protected</li><li style="box-sizing:border-box;margin-top:0.25em">We need to do both: We need to build a fabric that enable security vendors to share signals, and secondly continued education on cyber security - devSecOps and incident-response aspects that SSE can provide telemetry</li></ul></li><li style="box-sizing:border-box;margin-top:0.25em"><p style="box-sizing:border-box;margin-top:16px;margin-bottom:16px">VeriClouds is releasing their SSE product, and they will reach out to members individually</p></li></ul><div><font color="#24292f" face="-apple-system, system-ui, Segoe UI, Helvetica, Arial, sans-serif, Apple Color Emoji, Segoe UI Emoji"><span style="font-size:16px"><br></span></font></div></div></div>