<div dir="ltr"><div><div><div><div><div><div><div><div>Building is just one part of this. We also have to think about source control and test infrastructure.<br><br></div>For read access, a git repo is all or nothing, so I presume we'll need a system where we handle embargoed code in a separate, locked-down git repo (not just a branch) and merge that in after the embargo lifts. Can we make this work with gitblit? Can we make such a workflow tolerable in centpkg?<br><br></div>Similarly, with test infra we'll need mechanisms to test the embargoed builds without making them visible.<br><br></div>The access controls for all of this will have to line up.<br><br></div>Speaking of access controls. How fine grained do we need this to be? One big "access to embargo" group? Per-sig? Per-package? Finer?<br><br></div>As far as the build system goes, I see a few options:<br></div>1) separate (small) koji instance for embargoed builds. This would only really work for a coarse grained access plan<br></div>2) a reimzul instance as kb suggests<br></div>3) modify koji to support read access controls (highly nontrivial and invasive, but maybe we could do it anyway)<br><div><div><div><div><div><div><div><br></div></div></div></div></div></div></div></div><div class="gmail_extra"><br><div class="gmail_quote">On Wed, Mar 11, 2015 at 12:54 PM, Karanbir Singh <span dir="ltr"><<a href="mailto:mail-lists@karan.org" target="_blank">mail-lists@karan.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><span class="">On 03/11/2015 04:03 PM, George Dunlap wrote:<br>
> What does CentOS do about security patches on the core?  Does it<br>
> strive to have updates built and tested as soon as the embargo is<br>
> lifted?<br>
<br>
</span>depends on the code- in some cases, where upstreams are going to work<br>
with us we do pre-patch and stage content that we can control code for -<br>
this tends to mostly be content outside of the distro.<br>
<br>
For the distro itself, we rely on the source drops from upstream - but<br>
we dont really test or need to own too much of the code lifecycle there.<br>
<span class="im HOEnZb"><br>
<br>
<br>
--<br>
Karanbir Singh<br>
<a href="tel:%2B44-207-0999389" value="+442070999389">+44-207-0999389</a> | <a href="http://www.karan.org/" target="_blank">http://www.karan.org/</a> | <a href="http://twitter.com/kbsingh" target="_blank">twitter.com/kbsingh</a><br>
GnuPG Key : <a href="http://www.karan.org/publickey.asc" target="_blank">http://www.karan.org/publickey.asc</a><br>
</span><div class="HOEnZb"><div class="h5">_______________________________________________<br>
CentOS-devel mailing list<br>
<a href="mailto:CentOS-devel@centos.org">CentOS-devel@centos.org</a><br>
<a href="http://lists.centos.org/mailman/listinfo/centos-devel" target="_blank">http://lists.centos.org/mailman/listinfo/centos-devel</a><br>
</div></div></blockquote></div><br></div>