<div dir="ltr"><div class="gmail_extra"><div class="gmail_quote">On Wed, Aug 12, 2015 at 4:05 PM, Stephen Niedzielski <span dir="ltr"><<a href="mailto:sniedzielski@wikimedia.org" target="_blank">sniedzielski@wikimedia.org</a>></span> wrote:<br><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex"><div dir="ltr"><div>  Assuming a better solution does not exist, I _think_ what I'm ultimately asking for is a Zuul managed / JJB maintained private Jenkins instance only accessible over SSH, if that makes sense. Is there anything like that? There must be other teams in the foundation that need a secure release job and we could either leverage their solution or they ours.</div></div></blockquote><div><br></div><div>There's a fundamental problem with signing on a Jenkins slave, private or shared, in that it will trust and execute anything the master gives it. It's also possible that the master (and other slaves by extension) is vulnerable to slave response forgery as well.[1]</div><div><br></div><div>I think to do automated signing right, we'd want to start with a dedicated production host that independently polls/listens for CR events and executes only tightly reviewed jobs that are outside the realm of our CI Zuul/Jenkins altogether. Whether this would be a another, completely private, Jenkins /cluster/ or something lighter, I'm not sure.</div><div><br></div><div>[1] <a href="https://groups.google.com/d/topic/jenkinsci-users/W5dKc06l1qs/discussion">https://groups.google.com/d/topic/jenkinsci-users/W5dKc06l1qs/discussion</a></div><div><br></div></div>-- <br><div class="gmail_signature"><div dir="ltr">Dan Duvall<div>Automation Engineer</div><div><a href="http://wikimediafoundation.org" target="_blank">Wikimedia Foundation</a><br></div></div></div>
</div></div>