Livraison des sources sous séquestre

[Jérémie Bresson]

On doit livrer nos sources et le moyen de les builder sous séquestre (à une entreprise tierce, au cas où on viendrait à faire faillite).

"Source Code Escrow package".

On se dit que c'est peut être aussi un moment pour retravailler nos pipeline de CI et d'utiliser plus/mieux les containers.

L'approche naïve qu'on a imaginé:

Une première étape dans laquelle on a le droit d'utiliser internet:

On construit une première image dans laquelle on va mettre:

* Les outils de build

* Les dépendances externes (depuis les repos maven, npm et autres)

* Le checkout du commit à builder depuis notre serveur Git

En utilisant les layers dans le bon sens, on devrait avoir des containers dont une grande partie est réutilisée d'une fois sur l'autre.

J'ai vu qu'un outil comme Jib [1] exposait sa lib "core" pour d'autres utilisation que dans un plugin maven ou gradle. Peut être une piste à creuser ?

Et une fois qu'on a terminée cette première étape, on passe à la deuxième:

On lance le build dans le container, cette fois ci en interdisant l'accès à internet, tout doit être fait en offline dans le container.

Comme ça l'image qu'on livre sous séquestre c'est celle produite par l'étape 1 et on est certain qu'elle marche puisque on s'en ai déjà servi le jour où on avait buildé notre produit.

On fait cette approche pour tous nos composants (en essayant d'être le plus standard possible) et on croise les doigts.

Bonne idée? Mauvaise idée?

Quelqu'un l'a déjà fait?

Je suis preneur de vos retours ou idées sur le sujet.

[1] https://github.com/GoogleContainerTools/jib