Ou faire des tests "batch" ? #201

Open
opened 2024-10-01 21:38:12 +02:00 by GNUtoo · 3 comments
Member

Bonjour,

j'ai un shell sur mother (cominfra@mother) et j'ai aussi un accès root à la VM de GNU Boot.

Par le passé j'ai déjà fait tourner des tests sur cominfra@mother avec screen et à chaque fois j'ai vérifié que ça prenait pas trop de resources CPU et RAM:

  • Test de sécurité avec Guix qui à permis de vérifier que Libre en communs était affecté par le CVE-2024-27297 (https://guix.gnu.org/en/blog/2024/fixed-output-derivation-sandbox-bypass-cve-2024-27297/). J'ai prévenu Neox en secret qui à réglé le soucis ultra rapidement puis j'ai ensuite prévenu Trisquel en secret et travaillé en secret avec la personne qui maintient Trisquel pour régler le soucis. La consomation de resources est quasi null. Ce qui à pris le plus pour ce test est le guix pull avant le test.
  • Je maintient des VM dans le repository https://forge.a-lec.org/cominfra/experimental-vms , notamment trisquel-automatic-netinstall-qemu. D'après ce que j'ai compris, ça interesse Libre en communs donc j'ai passé du temps à mettre ça à jour pour Trisquel 11.0.1 par exemple. Mais pour ça il faut tester et donc j'ai aussi lancé la création de la VM. A noter que les resources utilisées sont minimales (1 CPU, 807 MiB de RAM) mais ça dure longtemps et ça télécharge des paquets. Aussi le shell de cominfra@mother n'a pas d'accès à /dev/kvm (sauf à travers Guix) donc c'est pas idéal. Y'aurais moyen de télécharger moins si on utilise apt-cacher-ng mais ça demande de l'espace disque et d'après ce que j'ai compris on en manque. Si ça interesse le code supporte déjà apt-cacher-ng et j'ai des configs chez moi qui marchent.
  • J'ai aussi fait parreil pour une VM pour GNU Boot basée sur trisquel-automatic-netinstall-qemu mais j'ai bougé ça dans la VM GNU Boot assez recemment. Niveau resources c'est à peu près parreil (807MiB de RAM, 1 CPU).
  • J'ai aussi lancé un bisect du paquet Guix python-pycurl car j'ai un paquet pour le client python de l'agenda-du-libre qui permet d'envoyer des événements assez facilement, et pas mal de monde peut en avoir besoin (Guix pour ses événements dans les locaux d'Easter Egg, Libre en communs pour sa rencontre au bar commun, etc) mais je peux pas envoyer un patch car ça dépend de python-pycurl qui est cassé.

Du coup j'ai plus besoin de faire le test pour le CVE-2024-27297, et je peux faire les tests des VM GNU Boot dans la VM GNU Boot.

Mais du coup, est ce que je peux aussi bouger le bisect de python-pycurl dedans? Et les tests avec trisquel-automatic-netinstall-qemu? Ou vaux mieux séparer tout ça? Ou est ce ques tests de bisect bisect de python-pycurl sont à faire ailleurs?

Aussi je fait pas des tests en permanence donc je sait pas si ça vaut vraiment le coup de créer des resources dédiées pour ça.

edit1: précision que python-pycurl est cassé.

Bonjour, j'ai un shell sur mother (cominfra@mother) et j'ai aussi un accès root à la VM de GNU Boot. Par le passé j'ai déjà fait tourner des tests sur cominfra@mother avec screen et à chaque fois j'ai vérifié que ça prenait pas trop de resources CPU et RAM: - Test de sécurité avec Guix qui à permis de vérifier que Libre en communs était affecté par le CVE-2024-27297 (https://guix.gnu.org/en/blog/2024/fixed-output-derivation-sandbox-bypass-cve-2024-27297/). J'ai prévenu Neox en secret qui à réglé le soucis ultra rapidement puis j'ai ensuite prévenu Trisquel en secret et travaillé en secret avec la personne qui maintient Trisquel pour régler le soucis. La consomation de resources est quasi null. Ce qui à pris le plus pour ce test est le guix pull avant le test. - Je maintient des VM dans le repository https://forge.a-lec.org/cominfra/experimental-vms , notamment trisquel-automatic-netinstall-qemu. D'après ce que j'ai compris, ça interesse Libre en communs donc j'ai passé du temps à mettre ça à jour pour Trisquel 11.0.1 par exemple. Mais pour ça il faut tester et donc j'ai aussi lancé la création de la VM. A noter que les resources utilisées sont minimales (1 CPU, 807 MiB de RAM) mais ça dure longtemps et ça télécharge des paquets. Aussi le shell de cominfra@mother n'a pas d'accès à /dev/kvm (sauf à travers Guix) donc c'est pas idéal. Y'aurais moyen de télécharger moins si on utilise apt-cacher-ng mais ça demande de l'espace disque et d'après ce que j'ai compris on en manque. Si ça interesse le code supporte déjà apt-cacher-ng et j'ai des configs chez moi qui marchent. - J'ai aussi fait parreil pour une VM pour GNU Boot basée sur trisquel-automatic-netinstall-qemu mais j'ai bougé ça dans la VM GNU Boot assez recemment. Niveau resources c'est à peu près parreil (807MiB de RAM, 1 CPU). - J'ai aussi lancé un bisect du paquet Guix [python-pycurl](https://packages.guix.gnu.org/packages/python-pycurl ) car j'ai un paquet pour le client python de l'agenda-du-libre qui permet d'envoyer des événements assez facilement, et pas mal de monde peut en avoir besoin (Guix pour ses événements dans les locaux d'Easter Egg, Libre en communs pour sa rencontre au bar commun, etc) mais je peux pas envoyer un patch car ça dépend de python-pycurl qui est cassé. Du coup j'ai plus besoin de faire le test pour le CVE-2024-27297, et je peux faire les tests des VM GNU Boot dans la VM GNU Boot. Mais du coup, est ce que je peux aussi bouger le bisect de python-pycurl dedans? Et les tests avec trisquel-automatic-netinstall-qemu? Ou vaux mieux séparer tout ça? Ou est ce ques tests de bisect bisect de python-pycurl sont à faire ailleurs? Aussi je fait pas des tests en permanence donc je sait pas si ça vaut vraiment le coup de créer des resources dédiées pour ça. edit1: précision que python-pycurl est cassé.
Author
Member

J'oubliait, niveau sécurité le code venait soit d'un git que j'ai vérifié (verification du hash git et plus quand c'était Guix) ou de mon ordinateur.

J'oubliait, niveau sécurité le code venait soit d'un git que j'ai vérifié (verification du hash git et plus quand c'était Guix) ou de mon ordinateur.
Owner

La réunion Cominfra a lieu le 10 octobre 2024, ce sujet y sera discuté

La réunion Cominfra a lieu le 10 octobre 2024, ce sujet y sera discuté
Owner

Durant la réunion, décision de mettre en place d'une place d'une machine virtuelle pour mieux contrôler l'usage de ressource de ces opérations !

Durant la réunion, décision de mettre en place d'une place d'une machine virtuelle pour mieux contrôler l'usage de ressource de ces opérations !
neox added the
en cours
label 2024-11-05 20:58:18 +01:00
Sign in to join this conversation.
No description provided.