<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Tue, Jul 8, 2014 at 12:27 PM, Rick Smith, Cryptosmith <span dir="ltr"><<a href="mailto:me@cys.me" target="_blank">me@cys.me</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">
It should be clear by now from the conversation that holding a security clearance doesn't in general qualify or disqualify someone from working on FOSS.<br>
<br>
There are a lot of scenarios. A small number involve bad behavior by someone with a clearance, but we don't necessarily know if a person has a clearance. If someone intentionally subverts a FOSS project as their job representing an intelligence agency, then the agent isn't going to be bragging about security clearances. At least, a competent agent won't.<br>

<br>
In any case, it comes down to a single solution - assurance through multi-person control. Teamwork for system maintenance, teamwork for code review, teamwork for everything. Human error and incompetence are bigger risks, and we can reduce the risks with the same mechanism.<br>

<span class="HOEnZb"><font color="#888888"><br>
Rick.</font></span><br></blockquote></div><br></div><div class="gmail_extra">I agree with you.  Our CipherShed project is currently too small to worry about this issue, so I am going to assume it's OK.  I'll post that to the CipherShed PMC list.  Thanks for the well thought out replies!<br>
<br>Bill<br></div></div>