projects / u / mdw / putty / blobdiff
? search:
summary | shortlog | log | commit | commitdiff | tree
raw | inline | side by side
When emitting SSH_MSG_IGNORE to protect against known-IV attacks on CBC,
[u/mdw/putty] / CHECKLST.txt
diff --git a/CHECKLST.txt b/CHECKLST.txt
index 9a55504..efca86d 100644 (file)
--- a/CHECKLST.txt
+++ b/CHECKLST.txt
@@ -15,16 +15,23 @@ The LICENCE file in the main source distribution:
 
 The resource files:
 
 
 The resource files:
 
- - putty/pageant.rc
+ - putty/windows/pageant.rc
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
- - putty/puttygen.rc
+ - putty/windows/puttygen.rc
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
- - putty/win_res.rc
+ - putty/windows/win_res.rc2
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
+ - putty/windows/version.rc2
+    + the copyright date appears once only.
  - putty/mac/mac_res.r
  - putty/mac/mac_res.r
+    + the copyright date appears twice, once in the About box and
+      once in the Licence box. Don't forget to change both!
+ - putty/mac/macpgen.r
+    + the copyright date appears twice, once in the About box and
+      once in the Licence box. Don't forget to change both!
  - putty/unix/gtkdlg.c
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
  - putty/unix/gtkdlg.c
     + the copyright date appears twice, once in the About box and
       once in the Licence box. Don't forget to change both!
@@ -41,16 +48,23 @@ The website:
 Before tagging a release
 ------------------------
 
 Before tagging a release
 ------------------------
 
- - First of all, go through the source and remove anything tagged
-   with a comment containing the word XXX-REMOVE-BEFORE-RELEASE.
+ - First of all, go through the source (including the documentation),
+   and the website, and review anything tagged with a comment
+   containing the word XXX-REVIEW-BEFORE-RELEASE.
+   (Any such comments should state clearly what needs to be done.)
+
+ - Also, do some testing of the Windows version with Minefield, and
+   of the Unix version with valgrind or efence or both. In
+   particular, any headline features for the release should get a
+   workout with memory checking enabled!
 
 For a long time we got away with never checking the current version
 
 For a long time we got away with never checking the current version
-number into CVS at all - all version numbers were passed into the
-build system on the compiler command line, and the _only_ place
-version numbers showed up in CVS was in the tag information.
+number in at all - all version numbers were passed into the build
+system on the compiler command line, and the _only_ place version
+numbers showed up in the source files was in the tag information.
 
 Unfortunately, those halcyon days are gone, and we do need the
 
 Unfortunately, those halcyon days are gone, and we do need the
-version number in CVS in a couple of places. These must be updated
+version number checked in in a couple of places. These must be updated
 _before_ tagging a new release.
 
 The file used to generate the Unix snapshot version numbers (which
 _before_ tagging a new release.
 
 The file used to generate the Unix snapshot version numbers (which
@@ -59,12 +73,17 @@ orders them correctly with respect to releases):
 
  - putty/LATEST.VER
 
 
  - putty/LATEST.VER
 
-The Windows installer script:
+The Windows installer script (_four_ times, on consecutive lines):
 
 
- - putty/putty.iss
+ - putty/windows/putty.iss
+
+The Windows resource file (used to generate the binary bit of the
+VERSIONINFO resources -- the strings are supplied by the usual means):
+
+ - putty/windows/version.rc2 (BASE_VERSION; NB, _comma_-separated)
 
 The Mac resource file (used to generate the binary bit of the 'vers'
 
 The Mac resource file (used to generate the binary bit of the 'vers'
-resources -- the strings are supplied by the usual means):
+resources):
 
  - putty/mac/version.r
 
 
  - putty/mac/version.r
 
@@ -72,7 +91,8 @@ It might also be worth going through the documentation looking for
 version numbers - we have a couple of transcripts showing the help
 text from the command-line tools, and it would be nice to ensure the
 whole transcripts (certainly including the version numbers) are up
 version numbers - we have a couple of transcripts showing the help
 text from the command-line tools, and it would be nice to ensure the
 whole transcripts (certainly including the version numbers) are up
-to date.
+to date. Sometimes these are marked in between releases as `0.XX', so
+it's worth grepping for that too.
 
  - putty/doc/pscp.but
  - putty/doc/plink.but
 
  - putty/doc/pscp.but
  - putty/doc/plink.but
@@ -86,7 +106,8 @@ This is the procedure I (SGT) currently follow (or _should_ follow
 of the tag.
 
  - Double-check that we have removed anything tagged with a comment
 of the tag.
 
  - Double-check that we have removed anything tagged with a comment
-   containing the word XXX-REMOVE-BEFORE-RELEASE.
+   containing the words XXX-REMOVE-BEFORE-RELEASE or
+   XXX-REVIEW-BEFORE-RELEASE.
 
  - Write a release announcement (basically a summary of the changes
    since the last release). Squirrel it away in
 
  - Write a release announcement (basically a summary of the changes
    since the last release). Squirrel it away in
@@ -106,25 +127,24 @@ of the tag.
 
  - Build the Windows/x86 release binaries. Don't forget to supply
    VER=/DRELEASE=<ver>. Run them, or at least one or two of them, to
 
  - Build the Windows/x86 release binaries. Don't forget to supply
    VER=/DRELEASE=<ver>. Run them, or at least one or two of them, to
-   ensure that they really do report their version number correctly.
+   ensure that they really do report their version number correctly,
+   and sanity-check the version info reported on the files by Windows.
     + Save the release link maps. Currently I keep these on ixion,
       in src/putty/local/maps-<version>.
 
     + Save the release link maps. Currently I keep these on ixion,
       in src/putty/local/maps-<version>.
 
- - Acquire the Windows/alpha release binaries from Owen.
-    + Verify the signatures on these, to ensure they're really the
-      ones he built. If I'm going to sign a zip file I make out of
-      these, I'm damn well going to make sure the binaries that go
-      _into_ it are signed themselves.
-    + Make sure Owen has kept the Alpha release link maps somewhere
-      useful.
-
- - Run Halibut to build the docs.
+ - Run Halibut to build the docs. Define VERSION on the make command
+   line to override the version strings, since Subversion revision
+   numbers are less meaningful on a tag.
+    + change into the doc subdir
+    + run `make VERSION="PuTTY release 0.XX" chm', then run `hhc
+      putty.hhp' to build the .CHM
+    + then run `make mostlyclean' (destroys the hhc input files but
+      _not_ the .CHM)
+    + then `make VERSION="PuTTY release 0.XX"'
 
 
- - Build the binary archives putty.zip (one for each architecture):
-   each one just contains all the .exe files except PuTTYtel, and
-   the .hlp and .cnt files.
-    + zip -k putty.zip `ls *.exe | grep -v puttytel` putty.hlp putty.cnt
-    + same again for Alpha.
+ - Build the binary archive putty.zip: all the .exe files except
+   PuTTYtel, and the .hlp, .cnt and .chm files.
+    + zip -k putty.zip `ls *.exe | grep -v puttytel` putty.hlp putty.cnt putty.chm
 
  - Build the docs archive puttydoc.zip: it contains all the HTML
    files output from Halibut.
 
  - Build the docs archive puttydoc.zip: it contains all the HTML
    files output from Halibut.
@@ -136,9 +156,6 @@ of the tag.
     + Sign the locally built x86 binaries, the locally built x86
       binary zipfile, and the locally built x86 installer, with the
       release keys.
     + Sign the locally built x86 binaries, the locally built x86
       binary zipfile, and the locally built x86 installer, with the
       release keys.
-    + The Alpha binaries should already have been signed with the
-      release keys. Having checked that, sign the Alpha binary
-      zipfile with the release keys too.
     + The source archive should be signed with the release keys.
     + Don't forget to sign with both DSA and RSA keys for absolutely
       everything.
     + The source archive should be signed with the release keys.
     + Don't forget to sign with both DSA and RSA keys for absolutely
       everything.
@@ -147,23 +164,9 @@ of the tag.
  - Begin to pull together the release directory structure.
     + subdir `x86' containing the x86 binaries, x86 binary zip, x86
       installer, and all signatures on the above.
  - Begin to pull together the release directory structure.
     + subdir `x86' containing the x86 binaries, x86 binary zip, x86
       installer, and all signatures on the above.
-    + subdir `alpha' containing the Alpha binaries, Alpha binary
-      zip, and all signatures on the above.
     + top-level dir contains the Windows source zip (plus
       signatures), the Unix source tarball (plus signatures),
     + top-level dir contains the Windows source zip (plus
       signatures), the Unix source tarball (plus signatures),
-      puttydoc.txt, the .hlp and .cnt files, and puttydoc.zip.
-
- - Create and sign md5sums files: one in the x86 subdir, one in the
-   alpha subdir, and one in the parent dir of both of those.
-    + The md5sums files need not list the .DSA and .RSA signatures,
-      and the top-level md5sums need not list the other two. Easiest
-      thing is to run, in each directory, this command:
-      md5sum `\find * -name '*SA' -o -type f -print` > md5sums
-    + Sign the md5sums files (gpg --clearsign).
-      for i in md5sums */md5sums; do for t in DSA RSA; do gpg --load-extension=idea --clearsign -u "Releases ($t)" -o $i.$t $i; done; done
-
- - Now double-check by verifying all the signatures on all the
-   files, and running md5sum -c on all the md5sums files.
+      puttydoc.txt, the .hlp, .cnt and .chm files, and puttydoc.zip.
 
  - Create subdir `htmldoc' in the release directory, which should
    contain exactly the same set of HTML files that went into
 
  - Create subdir `htmldoc' in the release directory, which should
    contain exactly the same set of HTML files that went into
@@ -172,13 +175,23 @@ of the tag.
       versions of the HTML docs will link to this (although the
       zipped form should be self-contained).
 
       versions of the HTML docs will link to this (although the
       zipped form should be self-contained).
 
+ - Create and sign an md5sums file in the top-level directory.
+    + The md5sums files need not list the .DSA and .RSA signatures.
+      Easiest thing is to run this command:
+      md5sum `\find * -name '*SA' -o -type f -print` > md5sums
+    + Sign the md5sums file (gpg --clearsign).
+      for t in DSA RSA; do gpg --load-extension=idea --clearsign -u "Releases ($t)" -o md5sums.$t md5sums; done
+
+ - Now double-check by verifying all the signatures on all the
+   files, and running md5sum -c on the md5sums file.
+
  - Now the whole release directory should be present and correct.
    Upload to ixion:www/putty/<ver>.
 
  - Do final checks on the release directory:
     + verify all the signatures. In each directory:
       for i in *.*SA; do case $i in md5sums*) gpg --verify $i;; *) gpg --verify $i `echo $i | sed 's/\..SA$//'`;; esac; done
  - Now the whole release directory should be present and correct.
    Upload to ixion:www/putty/<ver>.
 
  - Do final checks on the release directory:
     + verify all the signatures. In each directory:
       for i in *.*SA; do case $i in md5sums*) gpg --verify $i;; *) gpg --verify $i `echo $i | sed 's/\..SA$//'`;; esac; done
-    + check the md5sums. In each directory:
+    + check the md5sums:
       md5sum -c md5sums
 
  - Having double-checked the release, copy it from ixion to
       md5sum -c md5sums
 
  - Having double-checked the release, copy it from ixion to
@@ -217,9 +230,6 @@ of the tag.
  - Run webupdate, so that all the changes on ixion propagate to
    chiark. Important to do this _before_ announcing that the release
    is available.
  - Run webupdate, so that all the changes on ixion propagate to
    chiark. Important to do this _before_ announcing that the release
    is available.
-    * Don't forget to create the new directories on chiark -
-      ~/www/putty/<ver>{,/x86,/alpha,/htmldoc} - before running
-      webupdate.
 
  - After running webupdate, run update-rsync on chiark and verify
    that the rsync mirror package correctly identifies the new
 
  - After running webupdate, run update-rsync on chiark and verify
    that the rsync mirror package correctly identifies the new
@@ -227,7 +237,18 @@ of the tag.
 
  - Announce the release!
     + Mail the announcement to putty-announce.
 
  - Announce the release!
     + Mail the announcement to putty-announce.
+       * Set a Reply-To on the mail so that people don't keep
+        replying to my personal address.
     + Post it to comp.security.ssh.
     + Mention it in <TDHTT> on mono.
 
     + Post it to comp.security.ssh.
     + Mention it in <TDHTT> on mono.
 
- - All done.
+ - Relax (slightly).
+
+After the release
+-----------------
+
+The following want doing some time soon after a release has been made:
+
+ - If the release was made from a branch, make sure the version number
+   on the _trunk_ is up to date in all the locations listed above, so
+   that (e.g.) Unix snapshots come out right.
Local modifications for Simon Tatham's `PuTTY' SSH client and terminal emulator