[devel] Сборка галеон... За что?!

[devel] Сборка галеон... За что?!

[Alexey Morozov]

[-- Attachment #1: Type: text/plain, Size: 774 bytes --]

Вот, наблюдаю в nohup.out при сборке galeon на penalty:

...
mozilla-plugins-common-1.7.2-alt1
mozilla-1.7.2-alt1
mozilla-devel-1.7.2-alt1
install: packages installation complete.
Подготовка пакетов для установки...
install: RPM database updated.
`/home/morozov/RPM/SRPMS/galeon-1.3.19-alt1.src.rpm' ->
`chroot/.in/galeon-1.3.19
-alt1.src.rpm'
error: File /usr/src/RPM/SPECS/galeon.spec does not appear to be a
specfile.
Installing galeon-1.3.19-alt1.src.rpm
Building target platforms: i586
Building for target i586
0.09user 0.02system 0:00.12elapsed 98%CPU (0avgtext+0avgdata
0maxresident)k
0inputs+0outputs (0major+523minor)pagefaults 0swaps
rebuild: rebuild of `galeon-1.3.19-alt1.src.rpm' failed.
...

Этот пакет перед этим был собран локально


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Сборка галеон... За что?!

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 625 bytes --]

On Tue, Jan 18, 2005 at 11:03:39PM +0600, Alexey Morozov wrote:
> Вот, наблюдаю в nohup.out при сборке galeon на penalty:
> 
> ...
> mozilla-plugins-common-1.7.2-alt1
> mozilla-1.7.2-alt1
> mozilla-devel-1.7.2-alt1
> install: packages installation complete.
> Подготовка пакетов для установки...
> install: RPM database updated.
> `/home/morozov/RPM/SRPMS/galeon-1.3.19-alt1.src.rpm' ->
> `chroot/.in/galeon-1.3.19
> -alt1.src.rpm'
> error: File /usr/src/RPM/SPECS/galeon.spec does not appear to be a
> specfile.

Уберите не-ascii7 символы из шапки galeon.spec (первые 256 символов,
кажется).


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[devel] [JT] [doc?] Re: Сборка галеон... За что?!

[Michael Shigorin]

On Tue, Jan 18, 2005 at 08:05:53PM +0300, Dmitry V. Levin wrote:
> > error: File /usr/src/RPM/SPECS/galeon.spec does not appear to
> > be a specfile.
> Уберите не-ascii7 символы из шапки galeon.spec (первые 256
> символов, кажется).

Это не новость, но аксакалы продолжают
находить грабли экспериментальным путём.
Может, их где-то задокументрировать?
Неочевидные всё же.

-- 
почти хайку :)

Re: [devel] [JT] [doc?] Re: óÂÏÒËÁ ÇÁÌÅÏÎ... úÁ ÞÔÏ?!

[Volkov Serge]

Hello Michael,

Tuesday, January 18, 2005, 9:27:52 PM, you wrote:

MS> On Tue, Jan 18, 2005 at 08:05:53PM +0300, Dmitry V. Levin wrote:
>> > error: File /usr/src/RPM/SPECS/galeon.spec does not appear to
>> > be a specfile.
>> Уберите не-ascii7 символы из шапки galeon.spec (первые 256
>> символов, кажется).

MS> Это не новость, но аксакалы продолжают
MS> находить грабли экспериментальным путём.
MS> Может, их где-то задокументрировать?

Об этом ничего не сказано в rpm-build-policy.txt
ДО-КУ-МЕН-ТИ-РО-ВАТЬ!!!

MS> Неочевидные всё же.




-- 
Best regards,
 Volkov                            mailto:vserge@altlinux.ru

Re: [devel] [JT] [doc?] Re: Сборка галеон... За что?!

[Alexey Morozov]

[-- Attachment #1: Type: text/plain, Size: 638 bytes --]

On Wed, Jan 19, 2005 at 12:40:49AM +0300, Volkov Serge wrote:
> MS> On Tue, Jan 18, 2005 at 08:05:53PM +0300, Dmitry V. Levin wrote:
> >> > error: File /usr/src/RPM/SPECS/galeon.spec does not appear to
> >> > be a specfile.
> >> Уберите не-ascii7 символы из шапки galeon.spec (первые 256
> >> символов, кажется).
> 
> MS> Это не новость, но аксакалы продолжают
> MS> находить грабли экспериментальным путём.
> MS> Может, их где-то задокументрировать?
> Об этом ничего не сказано в rpm-build-policy.txt
> ДО-КУ-МЕН-ТИ-РО-ВАТЬ!!!
Это, замечу, не rpm-build-policy, все же, скорее всего. Это, вероятно,
хэшерные приколы, нет?


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] [JT] [doc?] Re: Сборка галеон... За что?!

[Mikhail Zabaluev]

[-- Attachment #1: Type: text/plain, Size: 615 bytes --]

В Срд, 19/01/2005 в 12:51 +0600, Alexey Morozov пишет:
> > >> > error: File /usr/src/RPM/SPECS/galeon.spec does not appear to
> > >> > be a specfile.
> > >> Уберите не-ascii7 символы из шапки galeon.spec (первые 256
> > >> символов, кажется).
> > 
> > MS> Это не новость, но аксакалы продолжают
> > MS> находить грабли экспериментальным путём.
> > MS> Может, их где-то задокументрировать?
> > Об этом ничего не сказано в rpm-build-policy.txt
> > ДО-КУ-МЕН-ТИ-РО-ВАТЬ!!!
> Это, замечу, не rpm-build-policy, все же, скорее всего. Это, вероятно,
> хэшерные приколы, нет?

Это fascist^Wsisyphus_check.


[-- Attachment #2: Эта часть сообщения подписана цифровой подписью --]
[-- Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] [doc?] Re: Сборка галеон... За что?!

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 803 bytes --]

On Wed, Jan 19, 2005 at 12:51:53PM +0600, Alexey Morozov wrote:
> On Wed, Jan 19, 2005 at 12:40:49AM +0300, Volkov Serge wrote:
> > MS> On Tue, Jan 18, 2005 at 08:05:53PM +0300, Dmitry V. Levin wrote:
> > >> > error: File /usr/src/RPM/SPECS/galeon.spec does not appear to
> > >> > be a specfile.
> > >> Уберите не-ascii7 символы из шапки galeon.spec (первые 256
> > >> символов, кажется).
> > 
> > MS> Это не новость, но аксакалы продолжают
> > MS> находить грабли экспериментальным путём.
> > MS> Может, их где-то задокументрировать?
> > Об этом ничего не сказано в rpm-build-policy.txt
> > ДО-КУ-МЕН-ТИ-РО-ВАТЬ!!!
> Это, замечу, не rpm-build-policy, все же, скорее всего. Это, вероятно,
> хэшерные приколы, нет?

Нет, это стандартное поведение rpm-build в локали POSIX.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] [doc?] Re: Сборка галеон... За что?!

[Alexey Morozov]

[-- Attachment #1: Type: text/plain, Size: 772 bytes --]

On Wed, Jan 19, 2005 at 01:22:01PM +0300, Dmitry V. Levin wrote:
> > Это, замечу, не rpm-build-policy, все же, скорее всего. Это, вероятно,
> > хэшерные приколы, нет?
> Нет, это стандартное поведение rpm-build в локали POSIX.
(задумчиво) "Век живи, век учись..."

В общем, сообщение для публики:

в хэшере на пеналти собрался galeon-1.3.19-alt1. Пока, правда, с
mozilla-1.7.2 (уж какая была в репозитории). Ченджлог, в общем,
приличный.

Моё предложение простое: перевести 1.7.5 из дедала в сизиф
(слегка язвительно: странно, что security team не сделала этого
раньше), и обновить всю линейку mozilla-based браузеров. А то
я соберу galeon на thunderbird'е. То-то получится летучий
кораблик стратегического назначения...

С уважением, Алексей Морозов.


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: Сборка галеон... За что?!

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 728 bytes --]

On Wed, Jan 19, 2005 at 04:43:33PM +0600, Alexey Morozov wrote:
[...]
> В общем, сообщение для публики:
> 
> в хэшере на пеналти собрался galeon-1.3.19-alt1. Пока, правда, с
> mozilla-1.7.2 (уж какая была в репозитории). Ченджлог, в общем,
> приличный.
> 
> Моё предложение простое: перевести 1.7.5 из дедала в сизиф
> (слегка язвительно: странно, что security team не сделала этого
> раньше), и обновить всю линейку mozilla-based браузеров. А то

JFYI, до сих пор для security team вся линейка mozilla-based браузеров
интереса не представляла, и я не виду причин к изменению ситуации. :(

> я соберу galeon на thunderbird'е. То-то получится летучий
> кораблик стратегического назначения...

:)


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: Сборка галеон... За что?!

[Alexey Morozov]

[-- Attachment #1: Type: text/plain, Size: 430 bytes --]

On Wed, Jan 19, 2005 at 01:48:33PM +0300, Dmitry V. Levin wrote:
> JFYI, до сих пор для security team вся линейка mozilla-based браузеров
> интереса не представляла, и я не виду причин к изменению ситуации. :(
В смысле, security team пользуется netcat'ом для просмотра web и
рекомендует делать так же остальным?

Или (распевая на мотив песни про Ту-104)
код mozilla настолько хорош,
что в никогда не будет найдено дыр?


[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: Сборка галеон... За что?!

[vserge]

On Wed, 19 Jan 2005 13:48:33 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Wed, Jan 19, 2005 at 04:43:33PM +0600, Alexey Morozov wrote:
> [...]
> > В общем, сообщение для публики:
> > 
> > в хэшере на пеналти собрался galeon-1.3.19-alt1. Пока, правда, с
> > mozilla-1.7.2 (уж какая была в репозитории). Ченджлог, в общем,
> > приличный.
> > 
> > Моё предложение простое: перевести 1.7.5 из дедала в сизиф
> > (слегка язвительно: странно, что security team не сделала этого
> > раньше), и обновить всю линейку mozilla-based браузеров. А то
> 
> JFYI, до сих пор для security team вся линейка mozilla-based браузеров
> интереса не представляла, и я не виду причин к изменению ситуации. :(

А можно узнать у security team почему? 
Так как на этих программах были обнаружены security bugs, то security
team должна была:
во-первых поднять данный вопрос перед майнтейнерами
во-вторых выпустить обновления, если это возможно
в-третьи анонсировать обновление в списке рассылки


Если я где-то не прав поправьте?! 

> 
> > я соберу galeon на thunderbird'е. То-то получится летучий
> > кораблик стратегического назначения...
> 
> :)
> 
> 
> -- 
> ldv


-- 
Увы, для настройки систем общего назначеня хороших конфигураторов нет.
		-- mithraen in community@

[devel] Re: Сборка галеон... За что?!

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 273 bytes --]

On Wed, Jan 19, 2005 at 01:58:49PM +0300, vserge wrote:
> Так как на этих программах были обнаружены security bugs, то
> security team должна была:

А кто это такая?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: Сборка галеон... За что?!

[Sergey Y. Afonin]

On Wednesday 19 January 2005 15:10, Michael Shigorin wrote:

> > security team должна была:
> 
> А кто это такая?

LDV ?

-- 
С уважением, Сергей Афонин
asy@altlinux.ru

Re: [devel] Re: Сборка галеон... За что?!

[vserge]

On Wed, 19 Jan 2005 16:51:03 +0400
"Sergey Y. Afonin" <asy@altlinux.ru> wrote:

> On Wednesday 19 January 2005 15:10, Michael Shigorin wrote:
> 
> > > security team должна была:
> > 
> > А кто это такая?
> 
> LDV ?
Ну так дело не пойдет!

Я конечно не сомневаюсь в способностях Димы заниматься кучей дел сразу,
но считаю что он ОДИН не может отвечать за всю Security Team!

В связи с выше сказанным хочу провести небольшой опрос:

Уважаемые коллеги:
1) Надо ли нам определить Security policy 
2) Надо ли расширить Security Team
3) Как должна работать Security Team и что будет входить в ее
обязанности?

> 
> -- 
> С уважением, Сергей Афонин
> asy@altlinux.ru
> _______________________________________________
> Devel mailing list
> Devel@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/devel


-- 
> Ходят слухи, что Juniora больше не будет, а на смену ему придёт
> Compact.
Ходят форварды, что это не так.
		-- mike in community@

Re: [devel] Re: Сборка галеон... За что?!

[Stanislav Ievlev]

On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> On Wed, 19 Jan 2005 16:51:03 +0400
> "Sergey Y. Afonin" <asy@altlinux.ru> wrote:
> 
> > On Wednesday 19 January 2005 15:10, Michael Shigorin wrote:
> > 
> > > > security team должна была:
> > > 
> > > А кто это такая?
> > 
> > LDV ?
> Ну так дело не пойдет!
> 
> Я конечно не сомневаюсь в способностях Димы заниматься кучей дел сразу,
> но считаю что он ОДИН не может отвечать за всю Security Team!
> 
> В связи с выше сказанным хочу провести небольшой опрос:
> 
> Уважаемые коллеги:
> 1) Надо ли нам определить Security policy 
> 2) Надо ли расширить Security Team
> 3) Как должна работать Security Team и что будет входить в ее
> обязанности?
Вопрос сложный.

Нынешняя Security Team занимается в первую очередь поддержкой
дистрибутивов. 

Наверное ALT Linux Team может организовать себе Security Team для поддержки Сизифа, хотя вообще говоря обновлениями для Сизифа должны озабочиваться сами мантейнеры.

> 
> > 
> > -- 
> > С уважением, Сергей Афонин
> > asy@altlinux.ru
> > _______________________________________________
> > Devel mailing list
> > Devel@altlinux.ru
> > https://lists.altlinux.ru/mailman/listinfo/devel
> 
> 
> -- 
> > Ходят слухи, что Juniora больше не будет, а на смену ему придёт
> > Compact.
> Ходят форварды, что это не так.
> 		-- mike in community@
> 
> _______________________________________________
> Devel mailing list
> Devel@altlinux.ru
> https://lists.altlinux.ru/mailman/listinfo/devel

Re: [devel] [doc?] Re: Сборка галеон... За что?!

[Alexey Gladkov]

Alexey Morozov wrote:
> Моё предложение простое: перевести 1.7.5 из дедала в сизиф
> (слегка язвительно: странно, что security team не сделала этого
> раньше), и обновить всю линейку mozilla-based браузеров. А то
> я соберу galeon на thunderbird'е. То-то получится летучий
> кораблик стратегического назначения...

mozilla в дедале была по объективным причинам. Сейчас она на очереди в 
сизиф, но застряла из-за миграции на новый gcc-c++3.4 .

-- 
Rgrds, legion

[devel] P: security volunteam

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1823 bytes --]

On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> Уважаемые коллеги:
> 1) Надо ли нам определить Security policy 
> 2) Надо ли расширить Security Team
> 3) Как должна работать Security Team и что будет входить в ее
> обязанности?

По предварительному обсуждению конца прошлого года могу
предложить такое.

Желающие поднимают руку и собираются в security volunteers team,
которая координируется security team и по возможности
обеспечивает по возможности оперативный выпуск рекомендаций по
обновлению для (хотя бы) последнего стабильного выпуска.

Что ожидается от участников -- заинтересованность в результате.
Поэтому, как правило, это системные администраторы, использующие
эти пакеты и системы в боевых условиях.

Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
такую команду (скорее номинальное -- с учётом ограничения
выборкой из участников ALT Linux Team?), маршрутизация информации
об уязвимостях (конкретному майнтейнеру или всей команде);
возможно, отслеживание статуса проблем (если на это не найдётся
желающего побыть таким project manager).

Из нашей фирмы в такой команде могут принять участие трое.

Да -- ещё хорошо бы иметь в такой команде доверенного человека,
могущего подготовить более-менее понятный краткий анонс.

Вообще надо заметить, что наиболее подробное описание ролей в
команде -- у Fedora Legacy, см. последнюю ссылку ниже.

References:

http://www.debian.org/security/faq
http://www.debian.org/doc/developers-reference/ch-pkgs.en.html#s-bug-security
http://www.gentoo.org/proj/en/security/
http://www.gentoo.org/security/en/vulnerability-policy.xml
http://fedoralegacy.org/about/faq.php
http://fedoralegacy.org/participate/

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[devel] Re: Сборка галеон... За что?!

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 1171 bytes --]

On Wed, Jan 19, 2005 at 06:43:35PM +0300, Stanislav Ievlev wrote:
> > Уважаемые коллеги:
> > 1) Надо ли нам определить Security policy 
> > 2) Надо ли расширить Security Team
> > 3) Как должна работать Security Team и что будет входить в ее
> > обязанности?
> Вопрос сложный.  Нынешняя Security Team занимается в первую
> очередь поддержкой дистрибутивов. 

Стас, как Дима уже подробно изложил в community@ -- с этим она
сейчас не справляется.

> Наверное ALT Linux Team может организовать себе Security Team
> для поддержки Сизифа, хотя вообще говоря обновлениями для
> Сизифа должны озабочиваться сами мантейнеры.

Для сизифа поддержку пока никто не спрашивал -- к сожалению, то,
что зачастую исправленные версии появляются сперва именно там,
продолжает провоцировать многих воспринимать его как "обновления".

Там IMHO было бы полезней публиковать автоматически применяемые
списки того, что обновилось именно из-за проблем с безопасностью,
ну или аналог дебиановского Urgency куда-то притулить.

Это уже второй, если не пятнадцатый, вопрос.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] P: security volunteam

[Maxim Tyurin]

Michael Shigorin <mike@osdn.org.ua> writes:
\scip
> Желающие поднимают руку и собираются в security volunteers team,
> которая координируется security team и по возможности
> обеспечивает по возможности оперативный выпуск рекомендаций по
> обновлению для (хотя бы) последнего стабильного выпуска.
>
> Что ожидается от участников -- заинтересованность в результате.
> Поэтому, как правило, это системные администраторы, использующие
> эти пакеты и системы в боевых условиях.
>
> Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> такую команду (скорее номинальное -- с учётом ограничения
> выборкой из участников ALT Linux Team?), маршрутизация информации
> об уязвимостях (конкретному майнтейнеру или всей команде);
> возможно, отслеживание статуса проблем (если на это не найдётся
> желающего побыть таким project manager).
>
> Из нашей фирмы в такой команде могут принять участие трое.

Из нашей фирмы только я один. 
Но надеюсь оправдаю доверие :)

> Да -- ещё хорошо бы иметь в такой команде доверенного человека,
> могущего подготовить более-менее понятный краткий анонс.
>
> Вообще надо заметить, что наиболее подробное описание ролей в
> команде -- у Fedora Legacy, см. последнюю ссылку ниже.
>
> References:
>
> http://www.debian.org/security/faq
> http://www.debian.org/doc/developers-reference/ch-pkgs.en.html#s-bug-security
> http://www.gentoo.org/proj/en/security/
> http://www.gentoo.org/security/en/vulnerability-policy.xml
> http://fedoralegacy.org/about/faq.php
> http://fedoralegacy.org/participate/

-- 

With Best Regards, Maxim Tyurin aka Bungarus
JID:	MrKooll@jabber.pibhe.com

Re: [devel] P: security volunteam

[Denis Ovsienko]

То есть это те "дежурные попадающие", о которых я пытался сказать летом?

-- 
    DO4-UANIC

[devel] Re: P: security volunteam

[Michael Shigorin]

On Wed, Jan 19, 2005 at 06:43:07PM +0200, Denis Ovsienko wrote:
> То есть это те "дежурные попадающие", о которых я пытался
> сказать летом?

Напомни формулировку? (по этой ничего не нашёл)

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Re: P: security volunteam

[Denis Ovsienko]

> > То есть это те "дежурные попадающие", о которых я пытался
> > сказать летом?
> Напомни формулировку? (по этой ничего не нашёл)
Те, на кого можно взвалить ответственную срочную работу по выпуску
обновления или починке сломавшегося пакета при недоступности мантейнера.

-- 
    DO4-UANIC

[devel] Re: P: security volunteam

[Michael Shigorin]

On Wed, Jan 19, 2005 at 06:56:55PM +0200, Denis Ovsienko wrote:
> > > То есть это те "дежурные попадающие", о которых я пытался
> > > сказать летом?
> > Напомни формулировку? (по этой ничего не нашёл)
> Те, на кого можно взвалить ответственную срочную работу по
> выпуску обновления или починке сломавшегося пакета при
> недоступности мантейнера.

Угу.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

Re: [devel] Re: P: security volunteam

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 756 bytes --]

On Wed, Jan 19, 2005 at 07:20:12PM +0200, Michael Shigorin wrote:
> On Wed, Jan 19, 2005 at 06:56:55PM +0200, Denis Ovsienko wrote:
> > > > То есть это те "дежурные попадающие", о которых я пытался
> > > > сказать летом?
> > > Напомни формулировку? (по этой ничего не нашёл)
> > Те, на кого можно взвалить ответственную срочную работу по
> > выпуску обновления или починке сломавшегося пакета при
> > недоступности мантейнера.
> 
> Угу.

Опыт нескольких лет работы в этом ключе подсказывает мне, что в общем
случае это не работает.  У каждого потенциально уязвимого пакета в идеале
должен быть куратор (а лучше несколько), у которого будет возможность
(т.е. хватит желания, квалификации, сил и времени) подготовить обновление.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] P: security volunteam

[Stanislav Ievlev]

On Wed, Jan 19, 2005 at 05:58:24PM +0200, Michael Shigorin wrote:
> On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> > Уважаемые коллеги:
> > 1) Надо ли нам определить Security policy 
> > 2) Надо ли расширить Security Team
> > 3) Как должна работать Security Team и что будет входить в ее
> > обязанности?
> 
> По предварительному обсуждению конца прошлого года могу
> предложить такое.
> 
> Желающие поднимают руку и собираются в security volunteers team,
> которая координируется security team и по возможности
> обеспечивает по возможности оперативный выпуск рекомендаций по
> обновлению для (хотя бы) последнего стабильного выпуска.
> 
> Что ожидается от участников -- заинтересованность в результате.
> Поэтому, как правило, это системные администраторы, использующие
> эти пакеты и системы в боевых условиях.
> 
> Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> такую команду (скорее номинальное -- с учётом ограничения
> выборкой из участников ALT Linux Team?), маршрутизация информации
> об уязвимостях (конкретному майнтейнеру или всей команде);
> возможно, отслеживание статуса проблем (если на это не найдётся
> желающего побыть таким project manager).
Тут есть два "но" (но не "нет" ;) )
1. Одобрение не может быть "номинальным" ибо маршрутизация информации об
уязвимостях может идти только к достаточно компетентным и доверенным
лицам. Зачастую эта информация носит строго конфиденциальных характер.
Соответственно должны быть сформулированы определённые требования
к желающим. В частности, это не должны быть недавно подключившиеся к
проекту люди. Надеюсь Дима сможет хотя бы примерно сформулировать эти
требования.
2. С volunteers ничего нельзя требовать: как своевременного выпуска
обновлений так и соблюдения режима неразглашения информации.

В связи с этим мне кажется струтура security team должна быть достаточно
сложной и иерархической. Должно быть чётко определено взаимодействие между
мантейнерами и тем кто выпускает обновления (чтобы не было потом каких-либо взаимных претензий и лишних ссор), а также мера ответственности.
Должно быть ясно к кому пользователи предъявляют претензии в случае
некорректно собранного обновления.

Например, большая часть уязвимостей носит публичный характер и работа по
исправлению чисто механическая. Но есть категория пакетов, исправления к
которым готовятся достаточно долго и непублично.

Для начала, в качестве эксперимента security volunteers team, может
заняться выпуском давно пропущенных обновлений, а также обновлениями по
пакетам официально не поддерживаемым. Думаю, что мы сможем составить такой
список пакетов.

Дима, что скажешь?

--
Стас.

[devel] Re: P: security volunteam

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 2211 bytes --]

On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> > Что ожидается от sec team (в лице Димы) -- одобрение
> > кандидатов в такую команду (скорее номинальное -- с учётом
> > ограничения выборкой из участников ALT Linux Team?),
> > маршрутизация информации об уязвимостях (конкретному
> > майнтейнеру или всей команде); возможно, отслеживание статуса
> > проблем (если на это не найдётся желающего побыть таким
> > project manager).
> Тут есть два "но" (но не "нет" ;) )
> 1. Одобрение не может быть "номинальным" ибо маршрутизация
> информации об уязвимостях может идти только к достаточно
> компетентным и доверенным лицам. Зачастую эта информация носит
> строго конфиденциальных характер.

Это понятно, но я не знаю, кто будет в такой команде.
Поэтому не могу оговаривать.  "Скорее", видимо, неуместно --
подразумевалось скорее "(?)".

Соответственно разница -- в персональной или более
широковещательной (на команду) нотификации.

Наверное, ты прав, потому что первое и так есть.

> Соответственно должны быть сформулированы определённые
> требования к желающим. В частности, это не должны быть недавно
> подключившиеся к проекту люди.

Хех.  Коллега вот до сих пор формально не подключился, хотя его
работа с моим проксированием в сизифе есть. (но это, думаю,
порешаем)

> Надеюсь Дима сможет хотя бы примерно сформулировать эти
> требования.

Угу.

> 2. С volunteers ничего нельзя требовать: как своевременного
> выпуска обновлений так и соблюдения режима неразглашения
> информации.

Вообще -- да.  В данном случае -- второе требовать можно, другое
дело, что основываться при этом -- на личном доверии и честном
слове.

[skip]

Да, конечно.

> Для начала, в качестве эксперимента security volunteers team,
> может заняться выпуском давно пропущенных обновлений, а также
> обновлениями по пакетам официально не поддерживаемым. Думаю,
> что мы сможем составить такой список пакетов.

Потихоньку уже и пошло -- силами тех, кто тут рядом в частном
порядке обсуждал (да и я сейчас залью MySQL-4.0.21-alt1.M24.1).

> Дима, что скажешь?

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

[devel] Re: P: security volunteam

[Michael Shigorin]

[-- Attachment #1: Type: text/plain, Size: 888 bytes --]

On Thu, Jan 20, 2005 at 01:58:29AM +0300, Dmitry V. Levin wrote:
> > > Те, на кого можно взвалить ответственную срочную работу по
> > > выпуску обновления или починке сломавшегося пакета при
> > > недоступности мантейнера.
> > Угу.
> Опыт нескольких лет работы в этом ключе подсказывает мне, что в
> общем случае это не работает.  У каждого потенциально уязвимого
> пакета в идеале должен быть куратор (а лучше несколько), у
> которого будет возможность (т.е. хватит желания, квалификации,
> сил и времени) подготовить обновление.

По-хорошему -- это первый этап (живая и здоровая * Packagers Team).
Если она отсутствует, а единственный майнтейнер не всегда
досягаем в разумное время -- остаётся такой вариант.

Собственно, это разные стороны куба люди/умения/интересы.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: P: security volunteam

[Anton Farygin]

Michael Shigorin wrote:

>On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
>  
>
>>2. С volunteers ничего нельзя требовать: как своевременного
>>выпуска обновлений так и соблюдения режима неразглашения
>>информации.
>>    
>>
>
>Вообще -- да.  В данном случае -- второе требовать можно, другое
>дело, что основываться при этом -- на личном доверии и честном
>слове.
>
>
>  
>
Вообще можно конечно еще подписывать NDA, как принято во многих структурах.

Rgds,
Rider

Re: [devel] Re: P: security volunteam

[Anton Farygin]

Michael Shigorin wrote:

>On Fri, Jan 21, 2005 at 02:31:33PM +0300, Anton Farygin wrote:
>  
>
>>>>2. С volunteers ничего нельзя требовать: как своевременного
>>>>выпуска обновлений так и соблюдения режима неразглашения
>>>>информации.
>>>>        
>>>>
>>>Вообще -- да.  В данном случае -- второе требовать можно,
>>>другое дело, что основываться при этом -- на личном доверии и
>>>честном слове.
>>>      
>>>
>>Вообще можно конечно еще подписывать NDA, как принято во многих
>>структурах.
>>    
>>
>
>Понимаю; но насколько (отдалённо) знаю _это_ сообщество -- тут
>или используется термин "доверие", или о нём нет речи.
>
>Договорные отношения бывают с security consultancies.
>
>PS: вообще бамага -- первое, что приходит на ум, но это разговор
>фирм, а не участников.
>
>  
>
Если не делать юридических документов, то подтвердить доверие как 
правило очень сложно.. нужно строить иерархию, в которой наверху стоят 
самые доверенные, а внизу ... ;-)

Rgds,
Rider

[devel] Re: P: security volunteam

[Michael Shigorin]

On Fri, Jan 21, 2005 at 02:31:33PM +0300, Anton Farygin wrote:
> >>2. С volunteers ничего нельзя требовать: как своевременного
> >>выпуска обновлений так и соблюдения режима неразглашения
> >>информации.
> >Вообще -- да.  В данном случае -- второе требовать можно,
> >другое дело, что основываться при этом -- на личном доверии и
> >честном слове.
> Вообще можно конечно еще подписывать NDA, как принято во многих
> структурах.

Понимаю; но насколько (отдалённо) знаю _это_ сообщество -- тут
или используется термин "доверие", или о нём нет речи.

Договорные отношения бывают с security consultancies.

PS: вообще бамага -- первое, что приходит на ум, но это разговор
фирм, а не участников.

-- 
 ---- WBR, Michael Shigorin <mike@altlinux.ru>
  ------ Linux.Kiev http://www.linux.kiev.ua/

[devel] [JT] P: security volunteam

[Anton D. Kachalov]

Куль!
Первое девеловское письмо за последние три месяца!!! УРА!

Rgds,
Anton

Re: [devel] P: security volunteam

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 2222 bytes --]

On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> On Wed, Jan 19, 2005 at 05:58:24PM +0200, Michael Shigorin wrote:
> > On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> > > Уважаемые коллеги:
> > > 1) Надо ли нам определить Security policy 
> > > 2) Надо ли расширить Security Team
> > > 3) Как должна работать Security Team и что будет входить в ее
> > > обязанности?
> > 
> > По предварительному обсуждению конца прошлого года могу
> > предложить такое.
> > 
> > Желающие поднимают руку и собираются в security volunteers team,
> > которая координируется security team и по возможности
> > обеспечивает по возможности оперативный выпуск рекомендаций по
> > обновлению для (хотя бы) последнего стабильного выпуска.
> > 
> > Что ожидается от участников -- заинтересованность в результате.
> > Поэтому, как правило, это системные администраторы, использующие
> > эти пакеты и системы в боевых условиях.
> > 
> > Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> > такую команду (скорее номинальное -- с учётом ограничения
> > выборкой из участников ALT Linux Team?), маршрутизация информации
> > об уязвимостях (конкретному майнтейнеру или всей команде);
> > возможно, отслеживание статуса проблем (если на это не найдётся
> > желающего побыть таким project manager).
> Тут есть два "но" (но не "нет" ;) )
> 1. Одобрение не может быть "номинальным" ибо маршрутизация информации об
> уязвимостях может идти только к достаточно компетентным и доверенным
> лицам. Зачастую эта информация носит строго конфиденциальных характер.
> Соответственно должны быть сформулированы определённые требования
> к желающим. В частности, это не должны быть недавно подключившиеся к
> проекту люди. Надеюсь Дима сможет хотя бы примерно сформулировать эти
> требования.

Пока я координатор выпуска обновлений, всё что нужно - это добиться моего
доверия.  Для этого нужно:
1. Продемонстрировать мотивированное желание и возможность готовить обновления.
2. Продемонстрировать квалификацию, необходимую для подготовки обновлений.
3. Продемонстрировать умение работать с конфиденциальной информацией.
4. Постоянно подтверждать вышеперечисленное.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] Re: P: security volunteam

[Dmitry V. Levin]

[-- Attachment #1: Type: text/plain, Size: 716 bytes --]

On Fri, Jan 21, 2005 at 02:31:33PM +0300, Anton Farygin wrote:
> Michael Shigorin wrote:
> >On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> >
> >>2. С volunteers ничего нельзя требовать: как своевременного
> >>выпуска обновлений так и соблюдения режима неразглашения
> >>информации.
> >
> >Вообще -- да.  В данном случае -- второе требовать можно, другое
> >дело, что основываться при этом -- на личном доверии и честном
> >слове.
> >
> Вообще можно конечно еще подписывать NDA, как принято во многих структурах.

Поскольку в нашем случае первичным источником конфиденциальной информации
является персона, а не структура, то этот вариант, скорее всего, не
годится.


-- 
ldv

[-- Attachment #2: Type: application/pgp-signature, Size: 189 bytes --]

Re: [devel] P: security volunteam

[vserge]

On Wed, 26 Jan 2005 14:47:54 +0300
"Dmitry V. Levin" <ldv@altlinux.org> wrote:

> On Thu, Jan 20, 2005 at 11:23:55AM +0300, Stanislav Ievlev wrote:
> > On Wed, Jan 19, 2005 at 05:58:24PM +0200, Michael Shigorin wrote:
> > > On Wed, Jan 19, 2005 at 04:01:02PM +0300, vserge wrote:
> > > > Уважаемые коллеги:
> > > > 1) Надо ли нам определить Security policy 
> > > > 2) Надо ли расширить Security Team
> > > > 3) Как должна работать Security Team и что будет входить в ее
> > > > обязанности?
> > > 
> > > По предварительному обсуждению конца прошлого года могу
> > > предложить такое.
> > > 
> > > Желающие поднимают руку и собираются в security volunteers team,
> > > которая координируется security team и по возможности
> > > обеспечивает по возможности оперативный выпуск рекомендаций по
> > > обновлению для (хотя бы) последнего стабильного выпуска.
> > > 
> > > Что ожидается от участников -- заинтересованность в результате.
> > > Поэтому, как правило, это системные администраторы, использующие
> > > эти пакеты и системы в боевых условиях.
> > > 
> > > Что ожидается от sec team (в лице Димы) -- одобрение кандидатов в
> > > такую команду (скорее номинальное -- с учётом ограничения
> > > выборкой из участников ALT Linux Team?), маршрутизация информации
> > > об уязвимостях (конкретному майнтейнеру или всей команде);
> > > возможно, отслеживание статуса проблем (если на это не найдётся
> > > желающего побыть таким project manager).
> > Тут есть два "но" (но не "нет" ;) )
> > 1. Одобрение не может быть "номинальным" ибо маршрутизация
> > информации об уязвимостях может идти только к достаточно
> > компетентным и доверенным лицам. Зачастую эта информация носит
> > строго конфиденциальных характер. Соответственно должны быть
> > сформулированы определённые требования к желающим. В частности, это
> > не должны быть недавно подключившиеся к проекту люди. Надеюсь Дима
> > сможет хотя бы примерно сформулировать эти требования.
> 
> Пока я координатор выпуска обновлений, всё что нужно - это добиться
> моего доверия.  Для этого нужно:
> 1. Продемонстрировать мотивированное желание и возможность готовить
> обновления. 2. Продемонстрировать квалификацию, необходимую для
> подготовки обновлений. 3. Продемонстрировать умение работать с
> конфиденциальной информацией. 4. Постоянно подтверждать
> вышеперечисленное.
> 
А ниже подпись: "Принимаем Добровольцев в группу спецназа ALT Linux
Team"


> 
> -- 
> ldv


-- 
> > [...] но сама работа Сизифа вполне стабильна
> Только перидоически что-то важное отваливается...
А вы не чешите это важное, оно и не отвалится :-)
		-- morozov in sisyphus@