<div dir="ltr"><div>Hello,</div><div><br></div><div>As every team we are also concerned
 by the gerrit breach and we must take a look at our changes during this
 time frame on all our deliverables [1].</div><div><br></div><div>The list of deliverables owned by Oslo is very huge, we need a methodical approach and also external help to check all these repositories.</div><div><br></div><div>Fortunately oslo was in feature freeze during the majority of this period so I think it will reduce the scope of our investigation to our master branches.<br></div><div><span lang="en"><span title=""><br></span></span></div><div><span lang="en"><span title="">Due to the criticality of the problem</span></span> I propose the following action plan:</div><div>- first, split our deliverables in group and assign volunteer on them<br></div><div>- second, focus us on changes against our scripts, executable files and CI config;<br></div><div>- third, inspect documentation;</div><div>- fourth, inspect other kinds of changes that I missed in previous points.<br></div><div><br></div><div>I
 wrote a script [2][3] to help the release team to extract relevant changes (*.py, 
*.sh), all the rest (*.yaml, *.rst) have been ignored 
for now, we could adapt this script to lead our investigation.</div><div><br></div><div>Example of script usage against our openstack/oslo.messaging repos:</div><div>```</div><div>$ cd oslo.messaging</div><div>$ curl <a href="https://gist.githubusercontent.com/4383/511359cc2080e06295944c5f40bd1033/raw/c0e21b41570abed076c72d11dcc102dd9d43a067/check.sh" target="_blank">https://gist.githubusercontent.com/4383/511359cc2080e06295944c5f40bd1033/raw/c0e21b41570abed076c72d11dcc102dd9d43a067/check.sh</a> | sh</div><div>```</div><div><br></div><div>Are you interested to follow this action plan?</div><div><br></div><div>Ben as you are the security liaison are you interested in coordinating these groups/actions?</div><div><br></div><div>Else any volunteer?<br></div><div><br></div><div>Feel free to propose another approach or to propose changes on this one.<br></div><div><br></div><div><div>Please ensure to double check your account activity [4] and make sure nothing is off.</div><div><br></div><div>Special congrats to Julia Kreger and for her excellent job [5].</div><div><br></div><div>Thank you in advance for your help, <br></div><div><br></div><div>[1] <a href="https://governance.openstack.org/tc/reference/projects/release-management.html" target="_blank">https://governance.openstack.org/tc/reference/projects/oslo.html#deliverables</a></div><div>[2] <a href="https://gist.github.com/4383/511359cc2080e06295944c5f40bd1033" target="_blank">https://gist.github.com/4383/511359cc2080e06295944c5f40bd1033</a></div><div>[3] <a href="https://gist.githubusercontent.com/4383/511359cc2080e06295944c5f40bd1033/raw/c0e21b41570abed076c72d11dcc102dd9d43a067/check.sh" target="_blank">https://gist.githubusercontent.com/4383/511359cc2080e06295944c5f40bd1033/raw/c0e21b41570abed076c72d11dcc102dd9d43a067/check.sh</a></div><div>[4] <a href="http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html" target="_blank">http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html</a></div><div>[5] <a href="http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html" target="_blank">http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html</a></div></div><br>-- <br><div dir="ltr" class="gmail_signature" data-smartmail="gmail_signature"><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div><div dir="ltr"><div>Hervé Beraud</div><div>Senior Software Engineer<br></div><div>Red Hat - Openstack Oslo</div><div>irc: hberaud</div><div>-----BEGIN PGP SIGNATURE-----<br><br>wsFcBAABCAAQBQJb4AwCCRAHwXRBNkGNegAALSkQAHrotwCiL3VMwDR0vcja10Q+<br>Kf31yCutl5bAlS7tOKpPQ9XN4oC0ZSThyNNFVrg8ail0SczHXsC4rOrsPblgGRN+<br>RQLoCm2eO1AkB0ubCYLaq0XqSaO+Uk81QxAPkyPCEGT6SRxXr2lhADK0T86kBnMP<br>F8RvGolu3EFjlqCVgeOZaR51PqwUlEhZXZuuNKrWZXg/oRiY4811GmnvzmUhgK5G<br>5+f8mUg74hfjDbR2VhjTeaLKp0PhskjOIKY3vqHXofLuaqFDD+WrAy/NgDGvN22g<br>glGfj472T3xyHnUzM8ILgAGSghfzZF5Skj2qEeci9cB6K3Hm3osj+PbvfsXE/7Kw<br>m/xtm+FjnaywZEv54uCmVIzQsRIm1qJscu20Qw6Q0UiPpDFqD7O6tWSRKdX11UTZ<br>hwVQTMh9AKQDBEh2W9nnFi9kzSSNu4OQ1dRMcYHWfd9BEkccezxHwUM4Xyov5Fe0<br>qnbfzTB1tYkjU78loMWFaLa00ftSxP/DtQ//iYVyfVNfcCwfDszXLOqlkvGmY1/Y<br>F1ON0ONekDZkGJsDoS6QdiUSn8RZ2mHArGEWMV00EV5DCIbCXRvywXV43ckx8Z+3<br>B8qUJhBqJ8RS2F+vTs3DTaXqcktgJ4UkhYC2c1gImcPRyGrK9VY0sCT+1iA+wp/O<br>v6rDpkeNksZ9fFSyoY2o<br>=ECSj<br>-----END PGP SIGNATURE-----<br><br></div></div></div></div></div></div></div></div></div></div></div></div></div></div>