<div dir="ltr"><div dir="ltr"><br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Wed, Oct 21, 2020 at 10:15 AM Marios Andreou <<a href="mailto:marios@redhat.com">marios@redhat.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr">Hi folks,<br><br>as you are undoubtedly aware, gerrit was down yesterday. There was this email to service-announce [1] with more information about what happened (kudos Julia Kreger who sent [2] where I saw that). There is a list of changes [3] since October 1st that we should audit out of precaution and to be responsible and accountable to our community and users.<br><br>As you can expect there are a great number of changes. I put a full commit list at [5]. I mined those from [3] - see [4] for info about the 'mining' and even better if someone has time to verify that I didn't miss any repos or commits.<br><br>Please I need help from all core reviewers. We need to check that the commits in [5] appear valid and correct - remember the concern is for any changes that may have been merged by a compromised account. I propose that we do this via Gerrit and that we leave a comment - 'CHECKED' - on each review that we check? Hopefully we can cover all of these before the end of the week by distributing our efforts. I am open to other suggestions though if folks feel this is better done via some document/spreadsheet etc.<div><br></div><div>Of course as stated in [1] it is a good idea for everyone to double check their account activity and make sure nothing is off,</div><div><br>Thank you in advance for your help,<br><br></div></div></blockquote><div><br></div><div>Hello tripleO<br><br>update on this effort: we have now "CHECKED" all the reviews in the list at [5] and we haven't flagged anything as suspicious.</div><div><br>Thanks to everyone who jumped in and helped review those commits especially Cédric Jeanneret, Mathieu Bultel<br>Emilien Macchi, Sandeep Yadav, Carlos Camacho, Harald Jensas, Francesco Pantano, Giulio Fidente (sincere apologies if I missed someone - at least these are the names I came across going through the list).<br><br>If folks have time and would still like to help please feel free to (e.g. randomly) check some of the commits in the list to double check that we didn't miss any.<br><br>thanks again for everyone's help<br><br>marios<br></div><div><br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex"><div dir="ltr"><div>marios<br><br>[1] <a href="http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html" target="_blank">http://lists.opendev.org/pipermail/service-announce/2020-October/000011.html</a><br>[2] <a href="http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html" target="_blank">http://lists.openstack.org/pipermail/openstack-discuss/2020-October/018148.html</a><br>[3] <a href="https://static.opendev.org/project/opendev.org/gerrit-diffs/" target="_blank">https://static.opendev.org/project/opendev.org/gerrit-diffs/</a><br>[4] <a href="https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0" target="_blank">https://gist.github.com/marios/a44a55998531354dc3d634dddeadf1c0</a><br>[5] <a href="https://gist.github.com/marios/d1b774c827769373b67d3988105140dd" target="_blank">https://gist.github.com/marios/d1b774c827769373b67d3988105140dd</a><br></div></div>
</blockquote></div></div>