<div dir="ltr">Hey Stuart!<div><br></div><div>Thats a really good point about SSL on the interfaces service. I saw the bug a few weeks back but it slipped my mind, and it surprised me to discover its been there since 2015. </div><div><br></div><div>I'll work towards having a resolution on this in the next week or so and will re-ping the list once its been TLS secure'd.</div><div><br></div><div>Thanks for beating the drum on this one, i've needed some motivation.</div><div><br></div><div>All the best,</div><br><div class="gmail_quote"><div dir="ltr">On Mon, Mar 21, 2016 at 10:14 PM Stuart Bishop <<a href="mailto:stuart.bishop@canonical.com">stuart.bishop@canonical.com</a>> wrote:<br></div><blockquote class="gmail_quote" style="margin:0 0 0 .8ex;border-left:1px #ccc solid;padding-left:1ex">On 19 March 2016 at 02:58, Jorge O. Castro <<a href="mailto:jorge@ubuntu.com" target="_blank">jorge@ubuntu.com</a>> wrote:<br>
<br>
> Recommendations from everyone on what we should include here would be<br>
> most welcome, specifically our recommendations around Windows charms<br>
> is non-existent.<br>
<br>
I think the acceptable software sources needs to be expanded.<br>
Launchpad PPAs should be acceptable as signing keys are securely<br>
retrieved when using 'add-apt-repository ppa:foo/bar'. Also, 3rd party<br>
apt repositories should be acceptable if the signing key is embedded<br>
in the charm (PyPi could be checked similarly, but it seems rare to<br>
find signed packages there).<br>
<br>
In addition, any software sources not in the main Ubuntu or CentOS<br>
archives should be listed in configuration items that can be<br>
overridden rather than hard coded in the charm, or else the charm is<br>
useless in network restricted environments (and yes, migrating to<br>
resources may be a better user experience in many cases).<br>
<br>
As examples, the PostgreSQL charm pulls non-default packages from the<br>
upstream PostgreSQL apt repository (PGDG, which is the source which<br>
flows to Debian and Ubuntu). The Cassandra charm pulls a required<br>
driver from a PPA I control. It also installs packages from either the<br>
Apache apt repository or the DataStax apt repository. Cassandra is not<br>
available in the Debian or Ubuntu main archives, probably as it<br>
required the Oracle JVM. Both charms use the<br>
install_sources/install_keys config items parsed by charm-helpers and<br>
the apt layer to make this configurable.<br>
<br>
On a side note, it is somewhat disingenuous to block charms in the<br>
store from pulling dependencies from untrusted sources at run time<br>
when we happily pull dependencies from untrusted sources at build<br>
time. I think the fix here is to do better at build time (Moving the<br>
interfaces web site to https: and ensuring clients use that address,<br>
only allowing https:, git+ssh: and other secure protocols for pulling<br>
branches, and checking GPG signatures of embedded wheels are the<br>
issues here I'm aware of)<br>
<br>
--<br>
Stuart Bishop <<a href="mailto:stuart.bishop@canonical.com" target="_blank">stuart.bishop@canonical.com</a>><br>
<br>
--<br>
Juju mailing list<br>
<a href="mailto:Juju@lists.ubuntu.com" target="_blank">Juju@lists.ubuntu.com</a><br>
Modify settings or unsubscribe at: <a href="https://lists.ubuntu.com/mailman/listinfo/juju" rel="noreferrer" target="_blank">https://lists.ubuntu.com/mailman/listinfo/juju</a><br>
</blockquote></div></div>