Normativa de inactividad de paquetes

Tabla de Contenidos

Propósito
Normativa
Usuarios recurrentes

Propósito

Los usuarios del grupo packager pueden enviar código a los repositorios oficiales de Fedora. Si uno de estos usuarios pierde la propiedad de la dirección de correo electrónico asociada a la cuenta de Fedora, podría producirse una posible brecha potencial de seguridad.

Normativa

Se realiza una comprobación simple periódica de cada usuario en el grupo de empaquetador, packager. Una semana antes de la congelación de la beta, un guion descargará el listado de empaquetadores y comprobará si ha habido alguna actividad en los últimos 12 meses en los siguientes lugares:

src.fedoraproject.org. Esto comprobará la actividad de empaquetado del usuario.
pagure.io. Por ejemplo, para comprobar si el usuario responde a los tickets de FESCo.
bodhi.fedoraproject.org. Comprueba el envío de actualizaciones o comentarios a las actualizaciones del paquete.
Listados del correo Fedora. Comprueba si hay algún mensaje desde uno de los correos-e conocidos del usuario internos a los listados de correo de Fedora.
bugzilla.redhat.com. Comprueba la actividad del usuario en el bugtracker de Red Hat / Fedora.

Para aquellos usuarios sin ninguna actividad en los sistemas anteriores se abrirá un ticket de empaquetador inactivo. Intentaremos contactar con el usuario, comprobar si todavía necesita/quiere que su cuenta esté en el grupo packager y comprobar si el correo electrónico utilizado en la cuenta Fedora sigue siendo válido y supervisado por ellos.

Una semana después tras el lanzamiento final, el script proporcionará un listado de aquellos usuarios que fueron detectados como inactivos en la primera ejecución y que no han respondido a nuestro intento de contactar con ellos. Podemos considerar a estos usuarios inactivos e inalcanzables y proceder a:

Retirar su cuenta desde el grupo packager.
Elimina al usuario de cualquier paquete donde esté el administrador principal, co-mantenedor o colaborador.
Paquetes huérfanos para los que el usuario era el administrador principal.

La cuenta del usuario sin embargo permanecerá activa y si vuelve a Fedora tras algún tiempo puede recuperar su estado de 'empaquetador' de una manera más rápida (consulte a continuación).

En una versión futura de esta normativa, los usuarios con 2FA habilitado pueden quedar exentos de la comprobación periódica. Por lo tanto, se anima a los empaquetadores a habilitar 2FA para asegurar su cuenta.

Usuarios recurrentes

Un usuario que fue retirado del grupo packager puede regresar a Fedora tras algún tiempo y querer recuperar su estatus de empaquetador.

Tales usuarios no son requeridos para repetir los pasos a ser patrocinados en el grupo packager.Siempre que puedan acreditar su identidad a través de otros métodos distintos al correo electrónico utilizado en su cuenta, podrán abrir un ticket en los patrocinadores de packager-sponsors solicitando que se confirme su identidad y se restaure su estatus.

Want to help? Learn how to contribute to Fedora Docs ›