<div dir="ltr">I've got no particular stake in this myself, as I'm not involved in the LLVM release process, and we make our own releases for our downstream users. One thought I did have though was that we should be careful against malicious actors potentially swapping out the official binaries with some other executable (e.g. a virus or worse, a modified LLVM that inserts viruses/flaws into people's code...). I'm not familiar enough with how the setup works etc, so I can't comment on whether this is a real possibility or can easily be prevented one way or another.<br></div><br><div class="gmail_quote"><div dir="ltr" class="gmail_attr">On Tue, 27 Apr 2021 at 07:20, Tobias Hieta via llvm-dev <<a href="mailto:llvm-dev@lists.llvm.org">llvm-dev@lists.llvm.org</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0px 0px 0px 0.8ex;border-left:1px solid rgb(204,204,204);padding-left:1ex">Hello,<br>
<br>
Going to ping this again. To me there seems to be a short term fix<br>
(reducing the overhead for the release manager) and the longer term<br>
fix where we have a CI building the releases.<br>
<br>
For the short-term it seems like the easiest solution is that we<br>
switch from uploading to SFTP and just upload to github releases<br>
directly.<br>
<br>
The trade-offs against the current solution are:<br>
* No signatures from one person<br>
* All committers can upload and overwrite a release, note: this is<br>
already possible since anyone can overwrite Tom's uploads already.<br>
<br>
Are we ok with these trade-offs? In that case I think we should use<br>
this for the LLVM 13 release.<br>
<br>
I am also interested in seeing if we want to have "official" builds<br>
from a CI (github actions?) where the testers would help make the<br>
sysroots instead as David suggested in his email above. Is this<br>
something we should pursue?<br>
<br>
Thanks,<br>
Tobias<br>
<br>
On Fri, Apr 23, 2021 at 4:29 PM Tobias Hieta <<a href="mailto:tobias@plexapp.com" target="_blank">tobias@plexapp.com</a>> wrote:<br>
><br>
> On Thu, Apr 22, 2021 at 11:46 PM Tom Stellard via llvm-dev<br>
> <<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a>> wrote:<br>
> ><br>
> > The easiest option would be to have testers upload binaries directly to the<br>
> > GitHub release page.  Is this really any worse from a security perspective<br>
> > than what we are doing now?<br>
> ><br>
> > The main difference is that anyone with commit access can upload releases<br>
> > to GitHub whereas with the current sftp uploads, we have to explicitly<br>
> > grant people access.<br>
> ><br>
><br>
> Hello Tom,<br>
><br>
> I didn't really consider this option since it ends up with the<br>
> releases not being signed by you / LLVM.org and that more people had<br>
> access to upload binaries there. But this is of course an option and<br>
> is pretty easy for everyone involved.<br>
><br>
> -- Tobias<br>
_______________________________________________<br>
LLVM Developers mailing list<br>
<a href="mailto:llvm-dev@lists.llvm.org" target="_blank">llvm-dev@lists.llvm.org</a><br>
<a href="https://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev" rel="noreferrer" target="_blank">https://lists.llvm.org/cgi-bin/mailman/listinfo/llvm-dev</a><br>
</blockquote></div>