<div dir="ltr">Hi all,<br><div>Here are the notes of the out-of-turn WG meeting that focused on exploring whether it makes sense for the SSE Framework to be used in cybersecurity applications. The notes are also stored <a href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-15">here</a>.</div><div><br></div><div><div class="gmail-markdown-body" style="box-sizing:border-box;font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";font-size:16px;line-height:1.5;color:rgb(36,41,47)"><h1 style="box-sizing:border-box;margin:0px 0px 16px;line-height:1.25;padding-bottom:0.3em">Out-of-turn meeting for Cybersecurity applications</h1><h2 style="box-sizing:border-box;margin-top:24px;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em"><a id="gmail-user-content-attendees" class="gmail-anchor" href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-15#attendees" aria-hidden="true" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none;float:left;padding-right:4px;line-height:1"></a>Attendees</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:16px"><li style="box-sizing:border-box">Atul Tulshibagwale (SGNL)</li><li style="box-sizing:border-box;margin-top:0.25em">Stefan Duernberger (Cisco)</li><li style="box-sizing:border-box;margin-top:0.25em">Jason Garbis (Appgate)</li><li style="box-sizing:border-box;margin-top:0.25em">Tim Cappalli (Microsoft)</li><li style="box-sizing:border-box;margin-top:0.25em">Nancy Cam Winget (Cisco)</li><li style="box-sizing:border-box;margin-top:0.25em">Martin Gallo (SecureAuth)</li><li style="box-sizing:border-box;margin-top:0.25em">Tom Sato (VeriClouds)</li><li style="box-sizing:border-box;margin-top:0.25em">Lee Tschetter (Okta)</li><li style="box-sizing:border-box;margin-top:0.25em">Gail Hodges (OpenID Foundation)</li></ul><h2 style="box-sizing:border-box;margin-top:24px;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em"><a id="gmail-user-content-agenda" class="gmail-anchor" href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-15#agenda" aria-hidden="true" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none;float:left;padding-right:4px;line-height:1"></a>Agenda</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:16px"><li style="box-sizing:border-box">Review <a href="https://docs.google.com/document/d/1tmMqiXNB-lW9HXIzrivOvaFSts23zAzKLWPcSD740kE/edit?usp=sharing" rel="nofollow" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none">Sharing Cybersecurity Signals</a> doc</li></ul><h2 style="box-sizing:border-box;margin-top:24px;margin-bottom:16px;line-height:1.25;padding-bottom:0.3em"><a id="gmail-user-content-notes" class="gmail-anchor" href="https://github.com/openid/sse/wiki/WG_Meeting-2022-03-15#notes" aria-hidden="true" style="box-sizing:border-box;background-color:transparent;text-decoration-line:none;float:left;padding-right:4px;line-height:1"></a>Notes</h2><ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">Wasn't SSE always meant to be for Cybersecurity? What is specifically being proposed here? Is it an effort to broaden the scope of SSE? Is this a means of sharing intelligence? Perhaps before getting into the details, we should discuss the goals. There are a lot of efforts in terms of trying to share data, so how is this different?<ul style="box-sizing:border-box;padding-left:2em;margin-top:0px;margin-bottom:0px"><li style="box-sizing:border-box">There could be more applications of the SSE Framework than offered by CAEP and RISC, so there could be other types of "profiles"</li><li style="box-sizing:border-box;margin-top:0.25em">Some text in the doc highlights that there is the SSE Framework, which could be used in different ways</li><li style="box-sizing:border-box;margin-top:0.25em">Cybersecurity is a very broad area</li><li style="box-sizing:border-box;margin-top:0.25em">We are trying to bridge existing efforts in the IETF</li><li style="box-sizing:border-box;margin-top:0.25em">Alternative take: Can SSE do this? Yes. But should we? For example, Subject Identifiers are in the core SSE spec, and we end up "blowing up" the core spec</li><li style="box-sizing:border-box;margin-top:0.25em">It could be much much deeper than just adding a profile</li><li style="box-sizing:border-box;margin-top:0.25em">Since we are still struggling to get adoption, so we should not distract from that</li><li style="box-sizing:border-box;margin-top:0.25em">A value that SSE provides is that it is a standard for sharing signals, but specific to account, identity and session information</li><li style="box-sizing:border-box;margin-top:0.25em">The specific identity-centric use cases of SSE is appealing to some companies (such as SecureAuth)</li><li style="box-sizing:border-box;margin-top:0.25em">If we broaden the scope too much, we might lose the value that SSE brings to tackling the specific identity / account / session problems.</li><li style="box-sizing:border-box;margin-top:0.25em">We should make sure we do not put too broad requirements on the SSE Framework in order to support new applications such as cybersecurity</li></ul></li><li style="box-sizing:border-box;margin-top:0.25em">We should add a section that gives reason why we should not do this</li><li style="box-sizing:border-box;margin-top:0.25em">If we can arrive at a structural role that is not fulfilled today, only then we should proceed</li><li style="box-sizing:border-box;margin-top:0.25em">We should address the question: "Why is SSE special?" and only then move forward</li><li style="box-sizing:border-box;margin-top:0.25em">The biggest contribution that the SSE WG can do is bring the RISC draft into the OpenID foundation</li><li style="box-sizing:border-box;margin-top:0.25em">We should try to arrive at a matrix that differentiates SSE and existing efforts (e.g. TAXII)</li></ul></div><div id="gmail-wiki-footer" class="gmail-mt-5 gmail-Link--muted gmail-wiki-footer" style="box-sizing:border-box;font-family:-apple-system,"system-ui","Segoe UI",Helvetica,Arial,sans-serif,"Apple Color Emoji","Segoe UI Emoji";font-size:14px;margin-top:32px"><br class="gmail-Apple-interchange-newline"></div></div></div>