<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 21, 2020 at 2:42 PM Giulio Fidente <<a href="mailto:gfidente@redhat.com">gfidente@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/21/20 9:15 AM, Marios Andreou wrote:<br>
> Hi folks,<br>
> <br>
> as you are undoubtedly aware, gerrit was down yesterday. There was this<br>
> email to service-announce [1] with more information about what happened<br>
> (kudos Julia Kreger who sent [2] where I saw that). There is a list of<br>
> changes [3] since October 1st that we should audit out of precaution and<br>
> to be responsible and accountable to our community and users.<br>
> <br>
> As you can expect there are a great number of changes. I put a full<br>
> commit list at [5]. I mined those from [3] - see [4] for info about the<br>
> 'mining' and even better if someone has time to verify that I didn't<br>
> miss any repos or commits.<br>
> <br>
> Please I need help from all core reviewers. We need to check that the<br>
> commits in [5] appear valid and correct - remember the concern is for<br>
> any changes that may have been merged by a compromised account. I<br>
> propose that we do this via Gerrit and that we leave a comment -<br>
> 'CHECKED' - on each review that we check? Hopefully we can cover all of<br>
> these before the end of the week by distributing our efforts. I am open<br>
> to other suggestions though if folks feel this is better done via some<br>
> document/spreadsheet etc.<br>
> <br>
> Of course as stated in [1] it is a good idea for everyone to double<br>
> check their account activity and make sure nothing is off,<br>
> <br>
> Thank you in advance for your help,<br>
> <br>
> marios<br>
> <br>
> [1] <a href="http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html" rel="noreferrer" target="_blank">http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html</a><br>
> [2] <a href="http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html" rel="noreferrer" target="_blank">http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html</a><br>
> [3] <a href="https://static.opendev.org/project/opendev.org/gerrit-diffs/" rel="noreferrer" target="_blank">https://static.opendev.org/project/opendev.org/gerrit-diffs/</a><br>
> [4] <a href="https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0" rel="noreferrer" target="_blank">https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0</a><br>
> [5] <a href="https://gist.github.com/marios/d1b774c827769373b67d3988105140dd" rel="noreferrer" target="_blank">https://gist.github.com/marios/d1b774c827769373b67d3988105140dd</a><br>
<br>
thanks a lot Marios for looking into this and organizing activities<br>
<br>
do I understand correctly that our most immediate responsibility is to<br>
go through the list of commits in [5] and compare what is actually in<br>
the git repos with what was proposed in gerrit?<br>
</blockquote><div><br></div><div>I don't think we need to worry that it was 'one of our accounts' that was compromised, at least I expect we would have known by now if there was any indication that this is the case.</div><div><br></div><div>The main concern is if the compromised admin account made any commits at all. So the immediate check is to make sure that all those commits were in fact merged by 'one of us' and not by any unknown account. For example with the compromised account they may have updated a review and merged it without us noticing. Unlikely I know, especially since we are quite an active project but I think it is better we make sure. </div><div><br></div><div>Of course I may be wrong in my assessment here in which case I fully expect that you will let me know ! I mean there is nothing wrong with doing what you suggested but I don't know if there is a need to go that far in this case. Verifying the person(s) that +2 and +A the review should be enough for now, making sure we don't have any rogue merges.</div><div><br></div><div>thanks ;)</div><div><br></div><div>marios</div><div><br></div><div> </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">-- <br>
Giulio Fidente<br>
GPG KEY: 08D733BA<br>
<br>
</blockquote></div></div>