<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 21, 2020 at 1:48 PM Giulio Fidente <<a href="mailto:gfidente@redhat.com">gfidente@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">On 10/21/20 9:15 AM, Marios Andreou wrote:<br>
> Hi folks,<br>
> <br>
> as you are undoubtedly aware, gerrit was down yesterday. There was this<br>
> email to service-announce [1] with more information about what happened<br>
> (kudos Julia Kreger who sent [2] where I saw that). There is a list of<br>
> changes [3] since October 1st that we should audit out of precaution and<br>
> to be responsible and accountable to our community and users.<br>
> <br>
> As you can expect there are a great number of changes. I put a full<br>
> commit list at [5]. I mined those from [3] - see [4] for info about the<br>
> 'mining' and even better if someone has time to verify that I didn't<br>
> miss any repos or commits.<br>
> <br>
> Please I need help from all core reviewers. We need to check that the<br>
> commits in [5] appear valid and correct - remember the concern is for<br>
> any changes that may have been merged by a compromised account. I<br>
> propose that we do this via Gerrit and that we leave a comment -<br>
> 'CHECKED' - on each review that we check? Hopefully we can cover all of<br>
> these before the end of the week by distributing our efforts. I am open<br>
> to other suggestions though if folks feel this is better done via some<br>
> document/spreadsheet etc.<br>
> <br>
> Of course as stated in [1] it is a good idea for everyone to double<br>
> check their account activity and make sure nothing is off,<br>
> <br>
> Thank you in advance for your help,<br>
> <br>
> marios<br>
> <br>
> [1] <a href="http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html" rel="noreferrer" target="_blank">http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html</a><br>
> [2] <a href="http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html" rel="noreferrer" target="_blank">http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html</a><br>
> [3] <a href="https://static.opendev.org/project/opendev.org/gerrit-diffs/" rel="noreferrer" target="_blank">https://static.opendev.org/project/opendev.org/gerrit-diffs/</a><br>
> [4] <a href="https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0" rel="noreferrer" target="_blank">https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0</a><br>
> [5] <a href="https://gist.github.com/marios/d1b774c827769373b67d3988105140dd" rel="noreferrer" target="_blank">https://gist.github.com/marios/d1b774c827769373b67d3988105140dd</a><br>
<br>
thanks a lot Marios for looking into this and organizing activities<br></blockquote><div>Yes, thanks a lot Marios++ ! </div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">
<br>
do I understand correctly that our most immediate responsibility is to<br>
go through the list of commits in [5] and compare what is actually in<br>
the git repos with what was proposed in gerrit?<br>
-- <br>
Giulio Fidente<br>
GPG KEY: 08D733BA<br>
<br>
<br>
</blockquote></div></div>