[api] cleanup group and user handling, showing groups as xml and handle user lookup...
[opensuse:build-service.git] / ReleaseNotes-2.3
1 #
2 # openSUSE Build Service 2.3
3 #
4
5 Please read the README.SETUP file for initial installation
6 instructions or use the OBS Appliance from
7
8   http://en.opensuse.org/Build_Service/OBS-Appliance
9
10 There is also an install medium with installs OBS on hard disc now.
11
12 README.UPDATERS file has informations for updaters.
13
14 OBS Appliance users who have setup their LVM can just replace 
15 their appliance image without data loss. The migration will 
16 happen automatically.
17
18
19 Security aspects
20 ================
21
22 Former OBS releases lack protection against XSS attacks. Esp. public instances
23 should update to OBS 2.3, which is using rails plugins to protect against XSS
24 attempts. This fixes (CVE-2011-0462).
25
26 To be considered regarding read access checks
27 =============================================
28
29 * "access" flag is hiding and protecting entire project. This includes binaries
30   and sources. It can only be used at project creation time and can just be
31   globally enabled (aka make it public again) afterwards.
32    This flag can only be used on projects.
33
34 * "sourceaccess" flag is hiding the sources to non maintainers, this includes also debug packages
35   in case the distribution is supporting this correctly.
36     This flag can also only be used at package creation time. There is no code
37   yet which is checking for possible references to this package.
38   This flag can be used on projects or packages.
39
40 * "downloadbinary" permission still exists like before. However, unlike "access" 
41   and "sourceaccess" this is not a security feature. It is just a convinience feature, which
42   makes it impossible to get the binaries via the API directly. But it still possible
43   to get the binaries via build time in any case.
44
45
46 Known Regressions to 2.1:
47 =========================
48
49
50 Features:
51 =========
52
53 * web interface improvements:
54   - package filtering
55   - IChain host configurable
56   - delete request dialogs
57   - social features, i.e. show other user's projects and requests
58
59 * api
60   - review of requests by project or package maintainers is possible now (FATE #310806)
61   - better Cross-Site Scripting (XSS) protection
62
63 * backend:
64
65
66 Changes:
67 ========
68
69 * web interface
70   - bug reporting for projects/packages is only possible if a bugowner is set
71   - XSS protection plugins are used now (CVE-2011-0462)
72
73 * api
74   - It was not possible so far to create submit requests from packages where no write access exists.
75     This is possible now, but the source package maintainer will get asked for review the request.
76   - the route /group/$GROUP is showing correct xml description and no directory anymore
77
78 Deprecated:
79 ===========
80
81 The following calls have been marked as deprecated, they will get removed in OBS 3.0
82
83 * api
84   - /person/$LOGIN/group   ->  use /group?login=$LOGIN   instead
85
86 Requirements:
87 =============
88
89 * The OBS server should not run on a system with less than 2GB memory. 
90   4GB is recommended, esp. when the same system is also building packages.
91
92 * Use osc 0.130 or later to get access to the new features.
93
94 * Usage of Ruby on Rails version 2.3.8 is mandatory.