<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<title></title>
</head>
<body>
<div name="messageBodySection">
<div dir="auto">My personal take on this is that it would be safer to use personal account with 2FA to manage these and also to make mandatory 2FA for all org members.
<div dir="auto"><br /></div>
<div dir="auto">Use of shared accounts is more risky as they are not as traceable as personal ones.</div>
<div dir="auto"><br /></div>
<div dir="auto">Overall I salute the idea as I think that there are few projects that would love to be able to use github issue tracker.</div>
</div>
</div>
<div name="messageSignatureSection"><br />
<div dir="auto">-- sorin</div>
</div>
<div name="messageReplySection">On 26 Jun 2019, 19:41 +0100, Jim Rollenhagen <jim@jimrollenhagen.com>, wrote:<br />
<blockquote type="cite" class="spark_quote" style="margin: 5px 5px; padding-left: 10px; border-left: thin solid #1abc9c;">
<div dir="ltr">Hi,<br />
<br />
The opendev team reached out to me about handing off administrative access of<br />
the "openstack" and related organizations on GitHub. They think it would be<br />
best if the TC took control of that, or at least took control of delegating<br />
that access. In general, the goal here is to support OpenStack's presence and<br />
visibility on GitHub.<br />
<br />
Per Jim Blair:<br />
<br />
> In the long run, this shouldn't entail a lot of work, generally creating new<br />
> repos on GitHub to accept mirroring from opendev systems, performing renames,<br />
> handling transfer requests when repos move out of the openstack namespace,<br />
> setting and updating descriptions, and curating the list of pinned<br />
> repositories.<br />
<br />
In the short term, we have some archiving and moving to do.[0]<br />
<br />
Do TC members want to manage this, or should we delegate?<br />
<br />
One thing to figure out is how to grant that access. The opendev team uses a<br />
shared account with two-factor authentication provided by a shared shell<br />
account. This mitigates accidental pushes or settings changes when an admin is<br />
using their usual GitHub account. The TC (or its delegates) probably doesn't<br />
have a shared shell account to do this with. Some options:<br />
<br />
* each admin creates a second GitHub account for this purpose use a shared<br />
* account without 2FA use a shared account with 2FA, share the one time secret<br />
* with everyone to configure their own token generator use personal accounts<br />
* but be very careful<br />
<br />
Thoughts on these options?<br />
<br />
[0] <a href="http://lists.openstack.org/pipermail/openstack-discuss/2019-June/006829.html">http://lists.openstack.org/pipermail/openstack-discuss/2019-June/006829.html</a><br />
<br />
// jim<br /></div>
</blockquote>
</div>
</body>
</html>