
<div dir="ltr">I've got no particular stake in this myself, as I'm not involved in the LLVM release process, and we make our own releases for our downstream users. One thought I did have though was that we should be careful against malicious actors potentially swapping out the official binaries with some other executable (e.g. a virus or worse, a modified LLVM that inserts viruses/flaws into people's code...). I'm not familiar enough with how the setup works etc, so I can't comment on whether this is a real possibility or can easily be prevented one way or another.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 27 Apr 2021 at 07:20, Tobias Hieta via llvm-dev <<a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>

<br>

Going to ping this again. To me there seems to be a short term fix<br>

(reducing the overhead for the release manager) and the longer term<br>

fix where we have a CI building the releases.<br>

<br>

For the short-term it seems like the easiest solution is that we<br>

switch from uploading to SFTP and just upload to github releases<br>

directly.<br>

<br>

The trade-offs against the current solution are:<br>

* No signatures from one person<br>

* All committers can upload and overwrite a release, note: this is<br>

already possible since anyone can overwrite Tom's uploads already.<br>

<br>

Are we ok with these trade-offs? In that case I think we should use<br>

this for the LLVM 13 release.<br>

<br>

I am also interested in seeing if we want to have "official" builds<br>

from a CI (github actions?) where the testers would help make the<br>

sysroots instead as David suggested in his email above. Is this<br>

something we should pursue?<br>

<br>

Thanks,<br>

Tobias<br>

<br>

On Fri, Apr 23, 2021 at 4:29 PM Tobias Hieta <<a href="mailto:tobias@plexapp.com" target="_blank">tobias@plexapp.com</a>> wrote:<br>

><br>

> On Thu, Apr 22, 2021 at 11:46 PM Tom Stellard via llvm-dev<br>

> <<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>> wrote:<br>

> ><br>

> > The easiest option would be to have testers upload binaries directly to the<br>

> > GitHub release page.  Is this really any worse from a security perspective<br>

> > than what we are doing now?<br>

> ><br>

> > The main difference is that anyone with commit access can upload releases<br>

> > to GitHub whereas with the current sftp uploads, we have to explicitly<br>

> > grant people access.<br>

> ><br>

><br>

> Hello Tom,<br>

><br>

> I didn't really consider this option since it ends up with the<br>

> releases not being signed by you / LLVM.org and that more people had<br>

> access to upload binaries there. But this is of course an option and<br>

> is pretty easy for everyone involved.<br>

><br>

> -- Tobias<br>

_______________________________________________<br>

LLVM Developers mailing list<br>

<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>

<a href="https://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">https://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>

</blockquote></div>