Gerrit/Privilege policy/cs



Práva a povinnosti
Většina úložišť Wikimedia Gerrit je nakonfigurována tak, že když uživatel provede kontrolu kódu "+2", Jenkins po provedení testů změnu automaticky sloučí. Takže právo poskytnout recenzi kódem +2 je omezeno na osoby v určitých skupinách Gerrit. Obvykle existuje skupina Gerrit pojmenovaná po každém úložišti, která uděluje oprávnění k tomuto úložišti. Některé skupiny Gerrit také udělují oprávnění na více úložištích. Nejpozoruhodnější je, že skupina  uděluje privilegia na jádro MediaWiki a všechna rozšíření a vzhledy, stejně jako některá další úložiště související s MediaWiki.

Skupiny Gerrit mohou odvodit své členy ze skupin LDAP. Většina zaměstnanců WMF je ve skupině  v LDAP, což jim automaticky uděluje členství ve skupině.

Správci Gerrit mohou přidávat a odebírat členy ze skupin Gerrit.

Sloučení změny jádra MediaWiki nebo rozšíření nasazeného Wikimedia je velký problém. Změna bude automaticky nasazena do, virtualizovaného pracovního prostředí, jakmile bude začleněna do. Bude také automaticky vyzvednuta v příštím okně nasazení jádra MediaWiki (viz Deployments), pokud nebude vráceno před přerušením větve vydání.

Vaše sloučení může způsobit selhání Wikipedie nebo jiných webů. Mohlo by to vytvořit bezpečnostní chybu, která útočníkům umožní odstranit nebo poškodit data nebo získat přístup k soukromým informacím. A v běžnějším případě by to mohlo způsobit zvýšení o, pokud kód nemá testy, je špatně implementován nebo špatně socializován. Před použitím +2 byste si měli pozorně přečíst tento dokument a všechny příslušné zásady.

+2 je silným vyjádřením důvěry a důvěra je udržována dobrým úsudkem a pečlivým jednáním.

Při kontrole kódu, diskusích o designu a komentářích k chybám mají ti, kdo mají hodnocení +2, zvláštní odpovědnost vidět z pohledu ostatních.



Sloučení bez recenze
Sloučení kódu bez kontroly je špatné pro kvalitu kódu a špatné pro morálku. Smyslem práv +2 je oddělit vývoj a kontrolu kódu. Účelem sloučení změny v Gerrit je říct světu, že "Ano, zajistil jsem, že tato změna bude v souladu s konvencemi MediaWiki, osvědčenými technickými postupy a bude rozumná." (Srov. "Recenze kódu: Prostě to udělej" od Jeffa Atwooda.) Vložené komentáře lze použít k označení problémů s kódem, které by měly být vyřešeny před jeho sloučením.

Sloučení vlastního kódu bez souhlasu recenzenta může být důvodem k odebrání oprávnění.

To není nutně totéž jako dát +2 změně Gerrit, kterou vlastníte. Například:


 * Pokud změna obdrží od recenzenta +2, ale sestavení Jenkinse se nezdaří, vlastník jí možná bude muset dát +2, aby se úloha sestavení restartovala.
 * Obnovení lze obecně sloučit samo, pokud bylo odevzdání, které vrací, nedávné. Vracíte se k verzi, která byla v té době pravděpodobně zkontrolována.
 * Ve větvích nasazení a v úložišti Puppet jsou změny sloučeny osobou provádějící nasazení, která je často také autorem. V těchto případech je kontrola kódu obvykle indikována udělením změně +1.
 * Potvrzení v Gerritu může mít dva autory: Vlastníka a recenzenta, který nahraje dodatek. Majitel a recenzent obvykle recenzují práci toho druhého. Pokud byly všechny změny zkontrolovány a schváleny, může být odevzdání sloučeno.

Velmi málo změn je natolik triviálních, aby se samo sloučilo. Samoslučování je tolerováno v některých případech, jako jsou triviální změny dokumentace nebo projekty pouze s jedním správcem.

U rozšíření (a dalších projektů), která nejsou nasazeny do clusteru Wikimedie, je politika kontroly kódu na správci nebo autorovi rozšíření. Některá rozšíření mimo Wikimedii se řídí zásadou Wikimedie zakazující samoslučování, ale není to vyžadováno. Pokud jste jedinou osobou, která píše rozšíření a nemáte nikoho, kdo by vaši změnu zkontroloval, nebo pokud je rozšíření opuštěno, je přijatelné své změny sloučit sami.



Kontrola v rámci týmu a sdílené vlastnictví
Pokud pracujete jako součást týmu, recenze členy vašeho týmu jsou nejen povoleny, ale důrazně se doporučují. Having peers review your code on an ongoing basis is a great way to keep momentum of development going, and ensure that your reviewers are familiar with what you're doing.

When you're doing intra-team review, be especially sensitive about blind spots, cognitive biases, and the need to get buy-in for large changes outside the group of people you're working in. Most open source projects, including MediaWiki, are full of abandoned efforts to create fancy new abstraction layers, skinning systems, testing frameworks, etc. Consider the impact of your changes on the ecosystem as a whole, and engage in conversations through requests for comment, wikitech-l, IRC and other venues. Shared ownership of code (to a greater or lesser degree) helps to ensure that what you're doing has lasting long term value.

Must read for code reviewers

 * - and subpages
 * - and related pages
 * - keep this in mind when making schema changes (which should be implemented following this process)
 * - and related pages
 * - keep this in mind when making schema changes (which should be implemented following this process)
 * - keep this in mind when making schema changes (which should be implemented following this process)

Requesting Gerrit privileges
Then send an email to the wikitech-l mailing list.

In either case, the Phabricator task should specify:


 * Gerrit username
 * repository or repositories to which access is required
 * reasoning, including links to patches written and reviewed

Developers commenting on a privilege request should consider whether the applicant has contributed high quality patches, has exercised +1 rights well, and has demonstrated competence. Negative comments should be written with tact, they should not be overly strident.

If there is a consensus of trusted developers on the Phabricator task, any of the Gerrit administrators can resolve the request. The task must remain open for at least a week, to allow interested developers to comment. Additional time should be allowed if the request is open during travel or holiday periods.

If there is no consensus on a request in Phabricator, it may be referred to TechCom for adjudication.

Previously, some extension maintainers were given ownership rights on the relevant project in Gerrit, so that they could add new group members without making a request in Phabricator. This model should not be used for new extensions. Gerrit administrators should not grant repository ownership to ordinary developers. Before an extension is deployed to the Wikimedia cluster for the first time, the rights should be audited, and legacy ownership privileges should be downgraded to +2 access.

Expedited process for trusted organisations
Gerrit administrators may immediately act on requests from the following trusted organisations for the granting and revocation of membership in their managed groups, specifically:

It is not necessary to file a Phabricator task or demonstrate consensus.

This facility is intended to allow these organisations to rapidly on-board staff members, who are assumed to be trusted by virtue of the hiring process. It also allows trusted organisations to grant access to volunteers who are well known and trusted by those organisations.

WMF employees may be added to the  group in LDAP when they are hired. Wikimedia Deutschland employees may be added to the  group in LDAP when they are hired.

TechCom, or the CTO in consultation with TechCom, may direct a Gerrit administrator to add any person to a Gerrit group.

Revocation
Revocation of Gerrit rights is permitted in the following circumstances:


 * In an emergency, such as a compromised account, Gerrit administrators may revoke access immediately, at their discretion. Reversal of emergency revocation may be done at the administrator's discretion if the emergency is judged to have passed. TechCom, or the CTO in consultation with TechCom, may review an emergency revocation and direct its reversal.
 * Revocation of privileges of a WMF employee may be directed by that employee's manager, in consultation with WMF Talent and Culture, as discussed in the Staff Handbook.
 * Revocation of privileges from any person may be directed by TechCom, or by the CTO in consultation with TechCom.

The reasons for revocation may include:


 * Merging bad code
 * Merging your own code without review
 * Failing to socialise high impact changes within the development community
 * Not following the guidelines above
 * Inappropriate behaviour, in particular, violating the Code of Conduct
 * Termination of employment or contract

It is WMF policy to revoke all privileges when staff members depart, even if those privileges were granted prior to the beginning of employment by virtue of volunteer work. Consistent application of this policy helps to protect the privacy of departing staff members: no fault is implied. If departed staff members wish to continue to contribute in a volunteer capacity, they may reapply for access by the usual process.

Requesting revocation
Emergency revocation should be requested by directly contacting a Gerrit administrator, for example using IRC. Revocation for reasons of competence or behaviour should generally be handled in private, following a defined escalation path. For more details, refer to the following table:

Amendments to this policy
Amendments to this policy must be approved by the CTO, in consultation with TechCom.

Definitions

 * CTO : The Chief Technology Officer of the Wikimedia Foundation.
 * TechCom: The Wikimedia Technical Committee. For TechCom to decide or direct something means that a meeting of the committee, by remote audio/video conference or in person, with the attendance of a quorum of at least half of TechCom's members, passes a resolution by simple majority or unanimous consent.